PageAdmin Cms V2.0 getshell 0day

黑小子在土司公布了“PageAdmin cms getshell Oday”,并给出了一个漏

洞的利用EXP。经过危险漫步在虚拟机里测试,存在漏洞的是PageAdmin Cms的次最薪版本PageAdmm CmsV2.0,最新版本pageadmin v2.1 20110927不存在这个漏洞了。利用漏洞可以直接获得shell,危害还是很大的。

一、漏洞简介

PageAdmin Cms是集成内容发布、文章、产品、图片、招聘、留言、自定义模型、采集等功能于一体的企业级网站管理系统。

漏洞公布者黑小子已经给出了漏洞分析,这里直接引用:

这个程序有个fckeditor,悲剧就在这里了。不过程序它在upload.aspx里面倒是验证了权限。任意上传<%@ Page language=”c#”Trace=”false”Inherits=”FredCK.FCKeditorV2.Uploader”AutoEventWireup=”false”StylesheetTheme=…’%>但是在connector.aspx这个里面就是一段

<% @Page language=”c#”Trace=”false”Inherits=“FredCK.FCKeditorV2.FileBrowserConnectorfl

AutoEventWireup=”false”StylesheetTheme=…’%>我不会.net所以完全不知道他这个代码是什么意思但是经过测试这个代码一点用处都没有!可以任意文件上传,../../任意跨目录!上传可以本地构造test.html。

我个人的理解就是PageAdmin Cms v2.0用到的FCKeditor存在任意文件上传漏洞,苛且可以自定义上传文件的目录。

二、漏洞利用

为了测试漏洞,我下载了存在漏洞的PageAdminCms V2.0的源代码,在虚拟机里的Windows系统中把PageAdmin Cms V2.O安装了起来。网站在虚拟机里的访问地址。

下面来看漏洞利用方法。PageAdmin Cms V2.0中FCKeditor默认在管理目录master下,虚拟机中connector.aspx的URL。

1、利用test.html上传获得shell

由于FCKeditor存在任意文件上传漏洞,所以可以通过test.html直接上传shell,但程序中的test.html被删除了。删除了不要紧,我从别的没被删除test.html的FCKeditor中复制了一个test.html出来,稍微修改下就可以利用。用记事本打开test.html,搜索connector. aspx,找到后补齐connector.aspx的完整URl。保存对test.html的修改,然后用浏览器打开test.html,会有安全提示,选择“允许阻止的内容”。

“Connector:”选择ASP.Net, “Current Folder”和“Resource Type”都保持默认,通过“浏览”按钮选择要上传的shell,这里我选择了ASPXspy2,点“Upload”后下面显示空白页,好像上传成功了,点“Get Folders and Files”,看到了文件上传上去的名字,在/upload/FCKeditor/File/目录下,访问却提示“无法找到资源”,打开upload\fckeditor目录下,根本没有File子目录,而是有一个目录,也就是当前的年加月份,中间用一连接,打开文件夹,里面有一个文件夹File,打开File文件夹一个.aspx文件躺在那里了。原来shell的地址中FCKeditor和File之间要加一个当前年月的文件夹,访问URL之后找到.aspx文件,就获得了shell。

2、利用EXP获得shell

黑小子给出了一个用PHP写的漏洞利用EXP,可以直接获得shell。EXP的代码就不贴出来了,有想要的朋友们可以来联系我。

把代码保存为文件pacmsexp.php,放到了虚拟机系统中的C盘根目录下。由于EXP是用PHP写的,需要你安装PHP后才能使用,危险漫步的虚拟机的Windoes 系统中已经安装了PHP v5.3。打开命令提示符,切换到C盘根目录下。输入php pacmsexpplip回车后就可以看到EXP的用法了(PHP的安装目录已经被我加进了环境变量path中,所以不用输入php.exe所在的路径)。

EXP的利用格式为:

php pacmsexp.php site path

其中site就是存在漏洞的网站的域名或IP地址,path是PageAdmin Cms V2.0所在的目录。输入php pacmsexp.php 127.0.0.1,回车,会看到一个光标在闪,提示“Exploit Success”,并且已经给出了shell的地址是aspx-‘句话木马,密码为90sec.org,用工具连接也获得了shell。

PageAdmin Cms v2.0 getshell Oday以及利用漏洞两种拿shell的方法介绍完了。通过搜索“PoweredbyPageAdlnin V2.0”等能找到可能存在这个漏洞的网站。

时间: 2024-10-27 13:50:13

PageAdmin Cms V2.0 getshell 0day的相关文章

appcms包含getshell 0day

0x01代码分析 看到index.php文件 $tpl = isset($_GET['tpl'])?$_GET['tpl']:'index'; // 2.1)判断分类绑定模板 if (intval($cid) > 0) { $ncate = isset($c -> categories[$cid])?$c -> categories[$cid]:''; if ($ncate == '') die('分类不存在'); if ($ncate['tpl_listvar'] != '') { /

开源 java CMS - FreeCMS2.0发布。

FreeCMS商业版V2.0更新功能 1.标签参数不区分大小写,如向infoList标签传递siteid参数,参数名为siteid或SiteId都可以正确传递参数. 2.增加清空索引功能. 3.增加信息五星评分功能. 4.增加数据模型:站点.栏目.信息,可自由扩展自定义字段. 支持输入方式: 文本框(单行) 文本框(多行) 富文本编辑器 复选列表(checkbox) 单选列表(radio) 下拉列表(select单选) 日期选择框 日期时间选择框 支持验证方式: 中文 英文 Email格式 网址

【Discuz插件】在线视频教程 商业版V2.0下载,打造在线云课堂教育培训网站

最新在线视频教程 商业版V2.0 + 批量上传!(旧版是集成板的,也没有批量上传) 100%完整可用,带有文档说明(官方+本人震撼补充)!  适合Discuz X3.2 X3.0 X3.1 X2.5 支持GBK.UTF-8简体和繁体.Big5多种编码格式. 注意本商品不包括模板安装服务.价格这么低,无法为你安装和解答问题. 绝对没有添加任何后门.木马等不道德行为.再者,本人也不懂后门和木马....  很便宜的,十几元而已.淘宝购买链接:https://item.taobao.com/item.h

冰蝎v2.0.1核心部分源码浅析

0x01 为什么要分析冰蝎 冰蝎是一种新型的木马连接工具,具备强大的功能,只要将冰蝎码上传到服务器并能够成功访问,那就可以执行诸多实用的功能,包括获取服务器基本信息,执行系统命令,文件管理,数据库管理,反弹meterpreter,执行自定义代码等,功能强大.而且和同类型的菜刀,蚁剑相比,加密了流量,只要在上传冰蝎码时和密匙协商建立连接的时候流量分析设备不能够检测出来,那么连接成功建立之后,waf,ids,ips就会好难再检测到出来.所以,冰蝎绝对是目前渗透测试,红蓝对抗中红方的一大利器.对于红方

原因是未找到“sgen.exe”,或未安装 .NET Framework SDK v2.0

visual studio编译出现错误:错误 2 任务失败,原因是未找到“sgen.exe”,或未安装 .NET Framework SDK v2.0.该任务正在注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework 的 SDKInstallRootv2.0 值中指定的位置下的“bin”子目录中查找“sgen.exe”.您可以通过执行下列操作之一,来解决这一问题: 1.) 安装 .NET Framework SDK v2.0.2.) 将上

Atitit jquery &#160;1.4--v1.11 &#160;v1.12 &#160;v2.0 &#160;3.0 的新特性

Atitit jquery  1.4--v1.11  v1.12  v2.0  3.0 的新特性 1.1. Jquery1.12  jQuery 2.2 和 1.12 新版本发布 - OPEN资讯.html   2016.11 1.1.1. jQuery.htmlPrefilter()1 1.2. 2016.7  jq3.0 新特性1 1.3. Jq3.1新特性 jQuery 3.1.1 发布了,该版本包括一些 BUG 修复和改进.3 1.1. Jquery1.12  jQuery 2.2 和

heatmap.js v1.0 到 v2.0,详细总结一下:)

前段时间,项目要开发热力图插件,研究了heatmap.js,打算好好总结一下. 本文主要有以下几部分内容: 部分源码理解 如何迁移到v2.0 v2.0官方文档译文 关于heatmap.js介绍,请看这里: http://www.oschina.net/p/heatmap-js 目前,对于热力图的开发,百度.高德开发平台上使用的都是这款JS开源库.当然,现在还有我们公司:P 百度示例:http://developer.baidu.com/map/jsdemo.htm#c1_15 高德示例:http

从零开始制作H5应用(2)——V2.0版,多页单张图片滑动,透明过渡及交互指示

上一次,我们制作了我们第一个H5场景应用的V1.0版,这次我们趁热打铁,在上一版的基础上对层序进行修改和扩展. 任务 1.页面数量由3张增加至9张: 2.每张页面中放入一张全屏自适应的图片: 3.修复页面过渡中的白场,并在过渡时加入页面的透明效果 4.给予用户"向上滑动"的交互提示: 分析 老规矩,拿到任务需求后,我们还是要先具体分析每一步的实现思路: 1.页面数量由3张增加至9张 这个太简单啦,就是再复制出来6个div,并给他们添加类名就可以啦:) 2.每张页面中放入一张全屏自适应的

混合模式程序集是针对“v2.0.50727”版的运行时生成的,在没有配置其他信息的情况下,无法在 4.0 运行时中加载该程序集

其调用的方法是从sqlite数据库中获取原来已经使用过的数据库连接,当时也没注意,就是准备设断点然后单步调试,结果竟然是断点无法进入方法体内,后来仔细看了一下方法体的时候发现了一个问题,就是现有的System.Data.Sqlite这个数据访问provider是针对.NET2.0环境开发(最新的版本是1.0.66.0,2010年4月18日发布的),而目前官方也没有给出最新的.NET4的数据访问支持. 既然出现这个问题,那肯定是上GOOGLE搜索解决方案,毕竟微软不可能因为升级到了.NET4.0的