TCCMS （最新）8.0 后台GETSHELL （源码详析）

基本字段

漏洞编号：: SSV-95060

披露/发现时间：: 2014-02-13

提交时间：: 2014-02-13

漏洞等级：

漏洞类别：: 其他类型

影响组件：: TCCMS

漏洞作者：: lxj616

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-050834

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述： TCCMS 8.0 BBS版（目前官网最新）后台一处设计不当可GETSHELL ### 详细说明： /app/admin/tempalate.class.php line:79 ``` public function Save() { $msgObj = new Msg(); $path = ROOT_PATH . "/templates/" . Config::get("t_dir"); $fullPath = $path . "/" . $_POST["name"]; //居然直接从POST里面取得文件名，虽然前台没有改文件名的地方，但是只要提供一个有效的post name 就可以上传任意文件了 $handle = fopen($fullPath,"w+"); $teamplateStr = StringUtil::teamplate_in(stripslashes($_POST["file_content"])); fwrite($handle,$teamplateStr); fclose($handle); $msgObj->addMsg('success', Config::lang("TEAMPLATEMODIFYSUCCESS")); StringUtil::goback(); } ``` 进入网站管理-模板管理 [<img src="https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png" alt="00001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png) 随便点开一个模板（例子中是about.html） [<img src="https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png" alt="00002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png) 抓包点保存 [<img src="https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png" alt="00003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png) 通过修改POST中的文件名上传php木马木马为about.php，就在原来html文件夹里面 [<img src="https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png" alt="00004.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png) 执行木马，echo 'hi' [<img src="https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png" alt="00005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png) ### 漏洞证明：进入网站管理-模板管理 [<img src="https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png" alt="00001.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/131433023ad18c52fd78beffc37115bdba99b8bb.png) 随便点开一个模板（例子中是about.html） [<img src="https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png" alt="00002.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143348ce86d09b6344b459a0b11599fa934517.png) 抓包点保存 [<img src="https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png" alt="00003.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143427f6cc401320b4ba2d534d68c3de62a1ea.png) 通过修改POST中的文件名上传php木马木马为about.php，就在原来html文件夹里面 [<img src="https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png" alt="00004.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143503bb813db3c328de14ab4eb0ce3891ff68.png) 执行木马，echo 'hi' [<img src="https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png" alt="00005.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/13143544a1aec00219b096344f44f24d04d8ad72.png)

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-050834

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

TCCMS （最新）8.0 后台GETSHELL （源码详析）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

TCCMS （最新）8.0 后台GETSHELL （源码详析）

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定