命令执行
构造payload后写入网站标题测试
这里采用了var_export函数
而下方采用了htmlspecialchars函数,但是该函数并不影响我们进行命令执行,因此无需考虑
由之前截图可以得知,因为使用了var_export 因此此处无法造成逃逸,难道真的不能命令执行吗?答案肯定是可以的,但是是在install.php里面
可以看到此处并未进行任何过滤,直接将POST数据存入配置文件中,因此造成命令执行或GETSHELL
越权
问题代码在mc-admin/post.php中
这里做了很多操作但是都不重要,我们来看看权限验证
根据源代码的分析,该CMS的权限认证是在mc-admin/head.php 中
而在post.php中调用了该页面,但是是在188行
也就是说,我们在进行权限验证之前,已经做出了删除的操作,因此存在越权漏洞
我们先获取一下文章的ID
构造POC
/mc-admin/post.php?delete=qe54cn&state=delete
再次访问发现已经被删除
可以看到此处也存在 "信息泄露" 漏洞