轻取帝国CMS管理员密码

“帝国”CMS是一套著名的PHP整站程序，是国内使用人数最多的PHPCMS程序之一。令人无奈的是，“帝国”虽然把势力壮大了，却忽略了自身防护的建设，结果在黑客攻击下，“帝国”沦陷了。“帝国”CMS曝出的漏洞能够让黑客在1分钟内拿到管理员的账户密码，之后更能轻松获取webshell。下面让我们一起来对“帝国”CMS进行一次入侵检测。

漏洞的成因：

都说安全是一个整体，千里之堤毁于蚁穴，往往一个看似坚不可摧的网站系统，在某个不被注意的角落出现了一个极小的疏忽，结果导致整个网站被黑客攻陷。“帝国”CMS正是这样被攻破的，先让我们来探索问题的究竟。

问题出在“帝国”CMS附带的留言板程序上，由于留言板功能相对于“帝国”CMS而言显得较为鸡肋，因此很少有站长重视它，可问题却偏偏出现在 留言板的代码中。由于变量过滤不严，黑客可以在留言板中执行一些越权操作，例如读取数据中的任意数值。当然要拿到管理员的账户和密码也就不在话下了。

漏洞的利用：

暴出管理员账户名和密码：

使用“帝国”CMS的网站很多，因此找测试的目标很容易。我们直接打开“帝国”的官方网站：，依次点击导航栏处的“服务项目”→“部分案例”，这里链接了600多个采用“帝国”CMS的网站，足够让我们进行测试了。

我们在其中挑选一个打开进行测试，在网站域名后输入：e/tool/gbook/?bid=1并回车，这样就打开了“帝国”CMS的留言功能。触发漏洞的步骤为：

Step1.在“姓名”处输入：縗

Step2.在“联系邮箱”处输入：,1,1,1,(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*

Step3.“留言内容”随意填写，输入完毕后点击“提交”按钮。

如果漏洞成功触发，我们会在留言列表中看到暴出的管理员账户名和密码。但不要高兴得太早，因为曝出的密码是经过MD5加密的32位密文，如果破解不出是毫无意义的。

上传webshell：

拿到管理员账户名和密码后，我们就可以登录网站后台了。在域名后输入“e/admin/”并回车，出现登陆验证页面，输入账户名admin和密码进行登录。

在后台我们依次点击“模板管理”→“增加自定义”链接。在“增加自定义”页面中，我们在“文件名”中输入需要建立的webshell文件名，为了隐蔽性，最好取和网站自身文件比较接近的文件名，例如ListQz.php。然后在“页面内容”中输入php木马的内容，其他项目可以随意填写，输入完毕后 点击“提交”。下面只要我们访问：***.com/e/admin/ListQz.php这个地址，一个令人激动地webshell就会出现了。