seacms v9.92变量覆盖导致越权

最新推荐文章于 2024-11-19 16:28:03 发布
原创 最新推荐文章于 2024-11-19 16:28:03 发布 · 496 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#代码审计 #web安全

文章详细介绍了SeacmsV9.92版本存在的全局变量覆盖漏洞,该漏洞允许攻击者通过覆盖SESSION和FILES类的变量实现越权,包括如何利用该漏洞修改管理员ID和用户组ID以获取管理员权限。漏洞源于common.php文件的安全检查疏漏,修复方法是完善变量过滤机制。

seacms v9.92变量覆盖导致越权

漏洞详情

seacms v9.92 及以前版本均存在全局的变量覆盖漏洞,在common.php文件中未对注册的全局变量做完整的安全检查。这里参考:https://xz.aliyun.com/t/6192和https://www.freebuf.com/articles/web/210902.html 对变量覆盖实现越权操作,来学习代码审计,文章使用的是v9.92版本。

漏洞审计分析

在披露这处变量覆盖导致越权的漏洞之前,其实官方就对这里注册变量加强了安全检查。v9.92版本这里漏掉了 _SESSION、_FILES两类。

在common.php中,先在_RunMagicQuotes将用户提交的参数及其值注册为变量和变量值

在这里插入图片描述

然后提交到foreach函数中检查,过滤掉一些非法类型的变量。在v9.92版本仅仅是漏掉了SESSION、FILES。而在之前的版本中就只过滤了cfg、GLOBALS

v9.92

在这里插入图片描述

v9.2
在这里插入图片描述

我这里没找到V9.92的源码,以V9.2版本演示了

common.php文件有很多页面都包含了,其中的注册全局变量的功能可以说非常常用,加上安全过滤时漏掉SESSION类的变量,只要找到使用 session_start 并包含 include/common.php 文件的地方,就可以覆盖 session

找到cms对管理员登录验证的地方
在这里插入图片描述

这里会对两个参数进行校验,有趣的是用了一个0R,我们只要满足一个条件就可以了

$_SESSION[‘hashstr’]的值是用管理员密码、数据库名和密码在采用MD5加密形成的,这个不好猜(我要是知道就直接登录了,还越权干嘛)

那就只剩下$cuserLogin->getUserID(),跟进这个函数

在这里插入图片描述

最低0.47元/天 解锁文章
seacms漏洞
2201_75544326的博客
03-03 469
海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,采用的是 php5.X+mysql 的架构,seacmsv9漏洞文件:./comment/api/index.php,漏洞参数:$rlist。
浅谈seacms的getshell
xf555er的博客
04-21 1179
最近几天一直在研究对cms的get shell,刚好看到几篇文章是关于对seacms代码审计,所以尝试写一个exp来对seacms进行getshell 0x001-出现漏洞的代码 关键在于$rlist这个变量是可控的,因为下图目录在comment/api/index.php 在include/sql.class.php文件下有个重大漏洞,设置了一个储存报错内容的文件。 在include/fi...
wordpressQQ登陆php代码_代码审计-Seacms9.92变量覆盖到getshell
weixin_28722339的博客
12-12 416
0x01 前言好久没输出一下了,看到seacms这个就比较想看下有什么漏洞,看到90sec上面mochazz师傅发了一篇https://forum.90sec.com/t/topic/425 ,就跟着复现学习一下。我当中也是遇到一些问题卡住了,对于自己不懂的一定要去弄懂,别不懂也跟着下去,复现成功了,其实你只是学到怎么用,但是你去做分析了,遇到中间不懂的也不去耐心的弄懂,那可想而知,你每次只是复现...
Seacms漏洞
Grey的博客
07-10 5307
海洋CMS6.45前台getshell漏洞复现结果:http://127.0.0.1/CMS/seacms_v6.4/upload/search.phppost:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}1.漏洞的触发点是在search.php 中的echoSearchPage()函数可以触发漏洞。常规的分析都是先找...
CVE-2020-21378(seacms后台SQL注入) 分析
RestoreJustice的博客
03-16 1670
变量没有经过什么过滤就直接插入到SQL语句中(360webscan.php会使用正则规则对注册的变量会进行检查,但对$id并没有任何检查),也没有引号包裹,十分好利用。在seacms v10.1版本中,在sql.class.php中GetOne中加入了对SQL语句的安全检查(上面的注入语句这里用不了)绕过方法参考https://xz.aliyun.com/t/2828#toc-3。下面这里的这个检查与先前审计过的duomicms的检查函数一样,是以单引号为界,把第一个引号前的语句给。
海洋CMS v9.8.zip
12-25
海洋cms是为解决站长核心需求而设计的内容管理系统,一套程序自适应电脑、手机、平板、APP多个终端入口,无任何加密代码、安全有保障,是您最佳的建站工具。
车辆管理系统V9.92绿色版
08-06
车辆管理系统,操作简便、界面友好、功能强大。提供了完备的车辆管理,包括车辆档案管理、驾驶员管理、费用管理、出车记录、维修记录、加油记录、事故记录、年检记录管理等内容。以图形方式显示车辆状态,直观方便。...
MINI LED V9.92
12-24
LED工牌改号器,更改LED内容
代码生成器 万通装修代码生成器 v9.92
10-20
淘宝万通装修软工具是专用于淘宝装修的实用工具,软件提供了天猫特效28种-专业版特效58种-基础版特效20种 -代码生成功能,方便淘宝美工快捷高效的工作,是一款可以帮助用户生成淘
seacms海洋cms漏洞
YouthBelief的博客
10-29 7599
seacms海洋cms漏洞前言一、seacms 远程命令执行 (CNVD-2020-22721)0x01 漏洞描述0x02 漏洞利用拿shell总结 前言 海洋CMS一套程序自适应电脑、手机、平板、APP多个终端入口。 一、seacms 远程命令执行 (CNVD-2020-22721) 0x01 漏洞描述 SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。 后台
seacms海洋cms影视管理系统 v9.1.zip
07-07
seacms海洋cms影视管理系统 v9.1 更新日志 更新日期:2019年2月1日 v9.1 优化:服务器开启OPcache时后台设置兼容性 优化:视频编辑时剧情分类显示方式 优化:剧情分类缓存项 seacms海洋影视管理系统简介 海洋影视管理系统(seacms,海洋cms)是一套专为不同需求的站长而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需5分钟即可建立一个海量的视频讯息的行业网站。 海洋cms采用PHP MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。海洋cms支持一键转换原max的模板和数据,实现网站无缝迁移到新平台。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持按分类 扩展分类 剧情分类三种分类模式组合,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 海洋cms是基于PHP MySql技术开发的开源CMS,完全开源 、没有任何加密代码,强劲功能、卓越性能、安全健壮。超级易用、模板众多、插件齐全、资源丰富。构架稳健,平滑升级。 seacms海洋影视管理系统前台页面 seacms海洋影视管理系统后台管理 后台路径:域名//admin 用户名与密码:admin(安装时可设置) 后台页面:  相关阅读 同类推荐:站长常用源码
SeaCMS(海洋CMS)存在MySQL慢查询漏洞(CNVD-2024-39253、CVE-2024-46640)
最新发布
护卫神的博客
11-19 408
SeaCMS(海洋CMS)是一款开源免费PHP影视系统,因其功能强大,操作使用简单,拥有大量用户。国家信息安全漏洞共享平台于2024-09-26公布其存在MySQL慢查询漏洞。
WEB 漏洞:seacms 远程命令执行(CNVD-2020-22721)
2301_79118231的博客
10-27 878
注:个人笔记,并不全面,仅供参考。
seacms 远程命令漏洞执行 (CNVD-2020-22721)
xy_wjyjw的博客
10-27 508
点击系统——后台IP安全设置(输入允许 IP:127.0.0.1)打开虚拟终端,输入命令dir /tmp,查看flag。利用漏洞的IP,用蚁剑连接漏洞,连接成功。点击Forward放包,发送到网站。进入bp的网站,并输入url地址。抓包成功,注入一句话密码。填入flag,成功通关。在bp中点击开始抓包。
[PHP代码审计]SEACMS命令执行漏洞
Y4tacker的博客
05-31 2066
文章目录写在前面漏洞演示漏洞点分析 写在前面 考虑到是后台,且后台目录随机,感觉危害不太大,所以分享思路,这里是防御过度造成的,两个waf的利用导致参数逃逸,希望给大家的审计学习带来帮助 漏洞演示 漏洞点在后台的图片水印设置 在这里我们用burpSuite拦截包,之后我们要修改三个地方,我把参数列出来 ------WebKitFormBoundaryiU3RjTlx8jjXvZLM Content-Disposition: form-data; name="photo_watertext" www.se
seacms 远程命令执行 (CNVD-2020-22721)漏洞复现
weixin_42675091的博客
09-06 2069
seacms 远程命令执行 (CNVD-2020-22721)漏洞复现
[漏洞复现]seacms(v6.53)代码执行漏洞
Vicl1fe的博客
12-30 4684
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 参考网址: https://blog.csdn.net/weixin_44897902/article/details/100853036 https://www.jianshu.com/p/a3a18f233184?tdsourcetag=s_pctim_aiomsg 环境: 链接:https://pan.ba...
seacms admin_ip.php RCE (CVE-2022-48093) 漏洞复现
weixin_68999845的博客
07-31 814
改内容写入的是 .php 文件内的,观察请求的payload是否是恶意的php语句,分析其作用,在本地测试即可(若写入一句话木马,用antswords连接.php文件观察是否成功即可)1.下载源码到本地:https://github.com/seacms-com/seacms。1.登录后台(在配置环境时,后台地址时随机生成的,本次地址为:seacms-master/源码下载url:https://github.com/seacms-com/seacms。以下版本受该漏洞影响:seacms全版本。
【漏洞复现】五、seacms 远程命令执行(CNVD-2020-22721)
weixin_52351575的博客
09-21 830
在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,直接写入文件。攻击者可利用该漏洞执行恶意代码,获取服务器权限。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值