VULHUB ™

### 简要描述： 现在 V8版本 基本全部文件都有zend加密了。 而且还有360_safe3.php保护 刚开始以为没搞头的，结果有个妹子发来微信。 妹子：在干嘛？ 我：挖洞 妹子：一个人挖？ 我：对啊！ 妹子：我过去陪你一起挖吧！ 我马上关机。擦，想跟老子抢乌云币？果断一个人作死开挖 ### 详细说明： 注意下，这里@农村教师 [WooYun: 苹果CMS全版本getshell打包第一弹](http://www.wooyun.org/bugs/wooyun-2014-052217) 之前提交过类似的后台getshell，但是修补了。。。 不废话，直接可耻的绕过它 1. 目录浏览 maccms后台有个接口，但是限制了，只能访问目录template里的文件 http://localhost/maccms8/admin/?m=template-list-path-../template/ [<img src="https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg" alt="11.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg) 访问其他目录也被默认访问了template目录 [<img src="https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg" alt="12.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg) 试图跳出template目录出错 [<img...

### 简要描述： 现在 V8版本 基本全部文件都有zend加密了。 而且还有360_safe3.php保护 刚开始以为没搞头的，结果有个妹子发来微信。 妹子：在干嘛？ 我：挖洞 妹子：一个人挖？ 我：对啊！ 妹子：我过去陪你一起挖吧！ 我马上关机。擦，想跟老子抢乌云币？果断一个人作死开挖 ### 详细说明： 注意下，这里@农村教师 [WooYun: 苹果CMS全版本getshell打包第一弹](http://www.wooyun.org/bugs/wooyun-2014-052217) 之前提交过类似的后台getshell，但是修补了。。。 不废话，直接可耻的绕过它 1. 目录浏览 maccms后台有个接口，但是限制了，只能访问目录template里的文件 http://localhost/maccms8/admin/?m=template-list-path-../template/ [<img src="https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg" alt="11.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg) 访问其他目录也被默认访问了template目录 [<img src="https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg" alt="12.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg) 试图跳出template目录出错 [<img src="https://images.seebug.org/upload/201405/251454406403a432eb49631bb59c9fe09cc39db8.jpg" alt="13.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251454406403a432eb49631bb59c9fe09cc39db8.jpg) 绕过姿势(这个案例之前乌云上有过) http://localhost/maccms8/admin/?m=template-list-path-../template/..\ [<img src="https://images.seebug.org/upload/201405/25145451561d1968470fd8290fc4bfa1f5a5ccda.jpg" alt="14.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25145451561d1968470fd8290fc4bfa1f5a5ccda.jpg) 2. 编辑文件（不能直接新建） 与列目录类似，这里直接给出接口（乌云编辑器转义了，直接看图吧） http://localhost/maccms8/admin/?m=template-info-file-../template/..\\/index.php ### 漏洞证明： [<img src="https://images.seebug.org/upload/201405/251456140d058be6cc6ebefd2206bcea9a32fcc4.jpg" alt="21.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251456140d058be6cc6ebefd2206bcea9a32fcc4.jpg)