VULHUB ™

### 简要描述： CuuMall商城后台Getshell 最新版本v2.3 其他版本未测试 估计也通杀 ok思密达！！！ ### 详细说明： CuuMall商城后台Getshell 有2种方法 第一种对表单里面的value参数没有过滤就直接显示了 还有种方法是可以利用解析漏洞 备份获取shell 下面是： -------------淫荡De分割线------------- ### 漏洞证明： #1 漏洞文件存在 \Runtime\~app.php 'db_type' => 'mysql', 'db_host' => 'localhost', 'db_name' => 'cuumall', 'db_user' => 'root', 'db_pwd' => '147258', 'db_port' 直接是明文保存密码 访问后台 基本设置 Runtime\Cache\Admin 目录下生成MD5 加密后台访问临时文件 并且这里的value参数里的值没有做任何处理就显示输出 [<img src="https://images.seebug.org/upload/201406/28172608add390be77bbca9ad30aafb424b81eae.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28172608add390be77bbca9ad30aafb424b81eae.jpg) #2 利用 exp 方法1： 直接后台基本设置里面，审查元素就获取表单参数值 [<img src="https://images.seebug.org/upload/201406/281729037f31b521ed0c0d65efee9e997876178a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/281729037f31b521ed0c0d65efee9e997876178a.jpg) 这样就可以拿到数据库账户和密码 权限大直接写shell...

### 简要描述： CuuMall商城后台Getshell 最新版本v2.3 其他版本未测试 估计也通杀 ok思密达！！！ ### 详细说明： CuuMall商城后台Getshell 有2种方法 第一种对表单里面的value参数没有过滤就直接显示了 还有种方法是可以利用解析漏洞 备份获取shell 下面是： -------------淫荡De分割线------------- ### 漏洞证明： #1 漏洞文件存在 \Runtime\~app.php 'db_type' => 'mysql', 'db_host' => 'localhost', 'db_name' => 'cuumall', 'db_user' => 'root', 'db_pwd' => '147258', 'db_port' 直接是明文保存密码 访问后台 基本设置 Runtime\Cache\Admin 目录下生成MD5 加密后台访问临时文件 并且这里的value参数里的值没有做任何处理就显示输出 [<img src="https://images.seebug.org/upload/201406/28172608add390be77bbca9ad30aafb424b81eae.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28172608add390be77bbca9ad30aafb424b81eae.jpg) #2 利用 exp 方法1： 直接后台基本设置里面，审查元素就获取表单参数值 [<img src="https://images.seebug.org/upload/201406/281729037f31b521ed0c0d65efee9e997876178a.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/281729037f31b521ed0c0d65efee9e997876178a.jpg) 这样就可以拿到数据库账户和密码 权限大直接写shell 方法2： 程序的函数做了过滤处理 但是生产的临时文件没有过滤 后台文章管理->插入一句话->然后备份 [<img src="https://images.seebug.org/upload/201406/281750091d12204d7d4c09c81389555bf7ebb52d.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/281750091d12204d7d4c09c81389555bf7ebb52d.jpg) 备份这里 iis 利用数据库名前缀：test.php;.or test.php:. apache 利用数据库名前缀：test.php. 我这里是apache测试环境： [<img src="https://images.seebug.org/upload/201406/28175436e877b7a6f8d69370955e33d3dd2b2e43.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28175436e877b7a6f8d69370955e33d3dd2b2e43.jpg) [<img src="https://images.seebug.org/upload/201406/28175553e4e5b238b58f1fec85444338f9b19d0f.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28175553e4e5b238b58f1fec85444338f9b19d0f.jpg) 生成路径： [<img src="https://images.seebug.org/upload/201406/28175640f83358e51ff549190b9bb3990bc5b705.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28175640f83358e51ff549190b9bb3990bc5b705.jpg) success！ [<img src="https://images.seebug.org/upload/201406/28175947022d58c99798a5735a6e1612fd3b6ee7.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201406/28175947022d58c99798a5735a6e1612fd3b6ee7.jpg)