当前位置：首页 > news >正文

春秋云境靶场CVE-2021-41402漏洞复现(任意代码执行漏洞)

news 2025/9/14 12:58:45

文章目录

前言
一、CVE-2021-41402描述
二、CVE-2021-41402漏洞复现
- 1、信息收集
- - 1、方法一弱口令bp爆破
  - 2、方法二7kb扫路径，后弱口令爆破
- 2、找可能可以进行任意php代码执行的地方
- 3、漏洞利用找flag
总结

前言

此文章只用于学习和反思巩固渗透测试知识，禁止用于做非法攻击。注意靶场是可以练习的平台，不能随意去尚未授权的网站做渗透测试！！！

一、CVE-2021-41402描述

flatCore-CMS v2.0.8 存在代码执行漏洞，远程恶意用户可以利用该漏洞执行任意 PHP 代码。
在这里插入图片描述

二、CVE-2021-41402漏洞复现

1、信息收集
2、找可能可以进行任意php代码执行的地方
3、漏洞利用找flag

1、信息收集

1、方法一弱口令bp爆破

一打开网站是404页面，开局就是404，天崩开局属于是。然后一个登录框。(如图所示)
在这里插入图片描述
这个时候我们找了一下并没有可以执行php任意代码的地方。我们只能选择信息收集了。
因为我们知道cms是什么，我们不妨去网上搜一下zzcms有没有报过历史漏洞，或者是有没有开源代码下载进行代码审计。这里我就不进行代码审计了，基础不好。但是搜了一下好像并没有什么东西，我们尝试爆破吧。
先抓个数据包，然后发送到intruder模块进行爆破。(如图所示)
在这里插入图片描述
因为大部分cms默认账号是admin，这里我就只爆破密码了。两个混合爆破太慢了，不如搏一搏，单车变摩托。我们发送到intruder模块。给密码加上$符号进行枚举爆破，最后观察页面回显数据包的长度来判断哪个是正常数据包，也就是正确密码。(如图所示)
* 在这里插入图片描述

我用的字典是自己网上找的后台密码大全字典。直接load导入就行

确认设置无误后点击start attack进行爆破

发现最不同的是5567的长度，我们试一试就行，发现密码12345678是正确密码。发现登录成功，点administration进入新的界面
在这里插入图片描述

2、方法二7kb扫路径，后弱口令爆破

这是一种方法，直接弱口令爆破。还有一种方法是先扫隐藏路径，这里用7kbscan扫描。发现有robots.txt可以访问。(如图所示)
在这里插入图片描述

得到隐藏路径，一个个试发现acp才是后台登录界面。然后弱口令爆破就行了，和上面一样。

在这里插入图片描述

2、找可能可以进行任意php代码执行的地方

发现有上传文件选项
在这里插入图片描述
上传一句话木马发现并不能看到文件的路径地址，和下载到的地方。发现上传文件好像有白名单过滤如图所示)

没有php后缀名选项上传选项，那么可能这里上传不了。我们再找找其他地方。发现有一个安装模块的地方，点进去看一下。发现可以上传模块，注意上说此区域测试阶段，那会不会没有进行过滤文件呢？我们点击上传发现可以上传，发现上传成功(如图所示)