|TCCMS （最新）8.0 后台GETSHELL （源码详析）

TCCMS （最新）8.0 后台GETSHELL （源码详析）

- AV AC AU C I A

发布： 2025-04-13

修订： 2025-04-13

### 简要描述： TCCMS 8.0 BBS版（目前官网最新）后台一处设计不当可GETSHELL ### 详细说明： /app/admin/tempalate.class.php line:79 ``` public function Save() { $msgObj = new Msg(); $path = ROOT_PATH . "/templates/" . Config::get("t_dir"); $fullPath = $path . "/" . $_POST["name"]; //居然直接从POST里面取得文件名，虽然前台没有改文件名的地方，但是只要提供一个有效的post name 就可以上传任意文件了 $handle = fopen($fullPath,"w+"); $teamplateStr = StringUtil::teamplate_in(stripslashes($_POST["file_content"])); fwrite($handle,$teamplateStr); fclose($handle); $msgObj->addMsg('success', Config::lang("TEAMPLATEMODIFYSUCCESS")); StringUtil::goback(); } ``` 进入网站管理-模板管理 [<img src="https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png" alt="00001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png) 随便点开一个模板（例子中是about.html） [<img src="https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png" alt="00002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png) 抓包点保存 [<img src="https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png" alt="00003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png) 通过修改POST中的文件名上传php木马木马为about.php，就在原来html文件夹里面 [<img src="https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png" alt="00004.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png) 执行木马，echo 'hi' [<img src="https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png" alt="00005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png) ### 漏洞证明：进入网站管理-模板管理 [<img src="https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png" alt="00001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png) 随便点开一个模板（例子中是about.html） [<img src="https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png" alt="00002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png) 抓包点保存 [<img src="https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png" alt="00003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png) 通过修改POST中的文件名上传php木马木马为about.php，就在原来html文件夹里面 [<img src="https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png" alt="00004.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png) 执行木马，echo 'hi' [<img src="https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png" alt="00005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png)

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有0条受影响产品信息

您还没有登录，登录后可查看更多

添加资源
收藏资源
问题反馈

贡献用户

暂无贡献用户

VULHUB ™