### 简要描述:
现在 V8版本 基本全部文件都有zend加密了。
而且还有360_safe3.php保护
刚开始以为没搞头的,结果有个妹子发来微信。
妹子:在干嘛?
我:挖洞
妹子:一个人挖?
我:对啊!
妹子:我过去陪你一起挖吧!
我马上关机。擦,想跟老子抢乌云币?果断一个人作死开挖
### 详细说明:
注意下,这里@农村教师 [WooYun: 苹果CMS全版本getshell打包第一弹](http://www.wooyun.org/bugs/wooyun-2014-052217) 之前提交过类似的后台getshell,但是修补了。。。
不废话,直接可耻的绕过它
1. 目录浏览
maccms后台有个接口,但是限制了,只能访问目录template里的文件
http://localhost/maccms8/admin/?m=template-list-path-../template/
[<img src="https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg" alt="11.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25145409212969b4dd38add1fb5dc09b1aaea965.jpg)
访问其他目录也被默认访问了template目录
[<img src="https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg" alt="12.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251454251089047a6d1cf85208c6470e2307391b.jpg)
试图跳出template目录出错
[<img src="https://images.seebug.org/upload/201405/251454406403a432eb49631bb59c9fe09cc39db8.jpg" alt="13.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251454406403a432eb49631bb59c9fe09cc39db8.jpg)
绕过姿势(这个案例之前乌云上有过)
http://localhost/maccms8/admin/?m=template-list-path-../template/..\
[<img src="https://images.seebug.org/upload/201405/25145451561d1968470fd8290fc4bfa1f5a5ccda.jpg" alt="14.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/25145451561d1968470fd8290fc4bfa1f5a5ccda.jpg)
2. 编辑文件(不能直接新建)
与列目录类似,这里直接给出接口(乌云编辑器转义了,直接看图吧)
http://localhost/maccms8/admin/?m=template-info-file-../template/..\\/index.php
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201405/251456140d058be6cc6ebefd2206bcea9a32fcc4.jpg" alt="21.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/251456140d058be6cc6ebefd2206bcea9a32fcc4.jpg)
暂无评论