輕取帝國CMS管理員密碼
2024-07-09 22:54:52
供稿:網友
“帝國”CMS是一套著名的PHP整站程序,是國內使用人數最多的PHP CMS程序之一。令人無奈的是,“帝國”雖然把勢力壯大了,卻忽略了自身防護的建設,結果在黑客攻擊攻擊下,“帝國”淪陷了。“帝國”CMS曝出的漏洞能 夠讓黑客在1分鐘內拿到管理員的賬戶密碼,之后更能輕松獲取webshell。下面讓我們一起來對“帝國”CMS進行一次入侵檢測。
漏洞成因
都說安全是一個整體,千里之堤毀于蟻穴,往往一個看似堅不可摧的網站系統,在某個不被注意的角落出現了一個極小的疏忽,結果導致整個網站被黑客攻陷。“帝國”CMS正是這樣被攻破的,先讓我們來探索問題的究竟。
問題出在“帝國”CMS附帶的留言板程序上,由于留言板功能相對于“帝國”CMS而言顯得較為雞肋,因此很少有站長重視它,可問題卻偏偏出現在 留言板的代碼中。由于變量過濾不嚴,黑客可以在留言板中執行一些越權操作,例如讀取數據中的任意數值。當然要拿到管理員的賬戶和密碼也就不在話下了。
漏洞的利用
暴出管理員賬戶名和密碼
使用“帝國”CMS的網站很多,因此找測試的目標很容易。我們直接打開“帝國”的官方網站:,依次點擊導航欄處的“服務項目”→“部分案例”,這里鏈接了600多個采用“帝國”CMS的網站,足夠讓我們進行測試了。
我們在其中挑選一個打開進行測試,在網站域名后輸入:e/tool/gbook/?bid=1并回車,這樣就打開了“帝國”CMS的留言功能。觸發漏洞的步驟為:
Step1.在“姓名”處輸入:縗
Step2.在“聯系郵箱”處輸入:,1,1,1,(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*
Step3.“留言內容”隨意填寫,輸入完畢后點擊“提交”按鈕。
圖1.暴出的管理員賬戶名和密碼
如果漏洞成功觸發,我們會在留言列表中看到暴出的管理員賬戶名和密碼。但不要高興得太早,因為曝出的密碼是經過MD5加密的32位密文,如果破解不出是毫無意義的。
破解MD5密碼
打開MD5在線破解網站:,在頁面正中的文本框中輸入加密過的32位密文,然后點擊“MD5加密或解密”按鈕,運氣不錯的話我們可以得到密碼原文,本例中得到的密碼原文為“happytime”。
上傳webshell
拿到管理員賬戶名和密碼后,我們就可以登錄網站后臺了。在域名后輸入“e/admin/”并回車,出現登陸驗證頁面,輸入賬戶名“admin”和密碼“happytime”進行登錄。
在后臺我們依次點擊“模板管理”→“增加自定義”鏈接。在“增加自定義”頁面中,我們在“文件名”中輸入需要建立的webshell文件名,為了隱 蔽性,最好取和網站自身文件比較接近的文件名,例如ListQz.php。然后在“頁面內容”中輸入php木馬的內容,其他項目可以隨意填寫,輸入完畢后 點擊“提交”。下面只要我們訪問:***.com/e/admin/ListQz.php這個地址,一個令人激動地webshell就會出現了。
