### 简要描述:
jcms的漏洞比较多,做代码审计时发现了很多,先爆一个。
### 详细说明:
[<img src="https://images.seebug.org/upload/201408/27010630abc8c43f21dd3120ab69ab1c0f60be33.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/27010630abc8c43f21dd3120ab69ab1c0f60be33.jpg)
这里是某政府信息公开后台管理系统,地址为:http://xxgk.yuanan.gov.cn/gov/setup/index.html
没有做任何的防暴力破解的措施,这是破解出后台的弱口令
成功登录后台,见到license上传界面
[<img src="https://images.seebug.org/upload/201408/270117247cc6a4fee909a55a04d331ad13445b1f.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/270117247cc6a4fee909a55a04d331ad13445b1f.jpg)
将webshell后缀更改为licence,使用拦截工具绕过客户端校验
[<img src="https://images.seebug.org/upload/201408/2701304272dfbb2bec2d9d8b914c45d907e6e346.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/2701304272dfbb2bec2d9d8b914c45d907e6e346.jpg)
将licence后缀替换为jspx。
之前的jcms版本没有对文件后缀做任何限制,2010版jcms在代码中增加了黑名单校验。这里可以使用jspx文件来绕过。
getshell,见图:
[<img src="https://images.seebug.org/upload/201408/27013025c946b007e1ebfa58c44c2966711edbad.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/27013025c946b007e1ebfa58c44c2966711edbad.jpg)
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201408/270130083168165c240340ff08613f791c80ff4d.jpg" alt="4.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/270130083168165c240340ff08613f791c80ff4d.jpg)
京公网安备 11010502034610号
暂无评论