web靶场搭建之帝国cms7.5

目录
一、漏洞描述
二、漏洞环境
三、环境搭建
四、漏洞复现
后台(CVE-2018-18086)
漏洞原理:
漏洞复现:
源码审计:
代码注入 (CVE-2018-19462)
漏洞原理:
漏洞复现:
源码审计:
后台XSS
漏洞类型:
漏洞文件:
漏洞原理:

源码分析:
前台xss
漏洞类型:
漏洞文件:
漏洞原理:

一、漏洞描述
帝国CMS系统 ,  7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行 。该漏洞的产生 , 最根源的问题是没有对get,post提交方式进行严格的安全效验与过滤 , 导致可以插入恶意代码到后端服务器去处理 , 导致漏洞的发生 。
二、漏洞环境
产品下载
下载安装包那一行的简体GBK版 。之后将压缩包里面的文件压缩到根目录下自己新建的一个目录里面 , 这里起名为 。然后打开里面的和MySQL , 之后在浏览器中访问  , 之后一直点下一步就可以了 。
四、漏洞复现
安装完成后进入cms后台 , 如果安装成功应该是这样的
后台(CVE-2018-18086) 漏洞原理:
7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行 。
.5版本中的/e/class/.php文件的””函数存在安全漏洞,攻击者可利用该漏洞上传任意文件 。
漏洞复现:
来到导入系统模型页面
本地准备一个1.php并改名为1.php.mod , 注意这里需要用\$进行转义 , 存放的数据表名需要填一个数据库内没有的表名 , 比如abcd , 点击上传
");?>
访问一下
访问成功没有报错 , 拿蚁剑连一下
连接成功 。
注:如果有waf报错500 , 应该是禁止web流量 , 我们上传的一句话木马默认情况下是不进行加密的 , 所以很容易被waf识别并拦截 。
解决方法:使用蚁剑自带的编码器和解密器即可成功上线 , 这里也可以用自己的编码器和解密器绕过waf拦截
源码审计:
Seay打开源码 , 
在//e/admin/.php里面可以看到
//导入模型elseif($enews=="LoadInMod"){$file=$_FILES['file']['tmp_name'];$file_name=$_FILES['file']['name'];$file_type=$_FILES['file']['type'];$file_size=$_FILES['file']['size'];LoadInMod($_POST,$file,$file_name,$file_type,$file_size,$logininid,$loginin);}
跟进函数 , 在//e/class/.php里面可以看到
//导入系统模型function LoadInMod($add,$file,$file_name,$file_type,$file_size,$userid,$username){global $empire,$dbtbpre,$ecms_config;//验证权限CheckLevel($userid,$username,$classid,"table");$tbname=RepPostVar(trim($add['tbname']));if(!$file_name||!$file_size||!$tbname){printerror("EmptyLoadInMod","");}//扩展名$filetype=GetFiletype($file_name);if($filetype!=".mod"){printerror("LoadInModMustmod","");}//表名是否已存在$num=$empire->gettotal("select count(*) as total from {$dbtbpre}enewstable where tbname='$tbname' limit 1");if($num){printerror("HaveLoadInTb","");}//上传文件$path=ECMS_PATH."e/data/tmp/mod/uploadm".time().make_password(10).".php";$cp=@move_uploaded_file($file,$path);if(!$cp){printerror("EmptyLoadInMod","");}DoChmodFile($path);@include($path);UpdateTbDefMod($tid,$tbname,$mid);//公共变量TogSaveTxtF(1);GetConfig(1);//更新缓存//生成模型表单文件$modr=$empire->fetch1("select mtemp,qmtemp,cj from {$dbtbpre}enewsmod where mid='$mid'");ChangeMForm($mid,$tid,$modr[mtemp]);//更新表单ChangeQmForm($mid,$tid,$modr[qmtemp]);//更新前台表单ChangeMCj($mid,$tid,$modr[cj]);//采集表单//删除文件DelFiletext($path);//操作日志insert_dolog("tid=$tid&tb=$tbname