74cms v4.2.1-v4.2.129 后台Getshell漏洞分析<\/h1>

0x00 漏洞概述<\/h2>
74cms（骑士人才系统）v4.2.1至v4.2.129版本存在一个后台Getshell漏洞，攻击者可以通过构造特定的URL参数，在系统中写入恶意代码，最终获取服务器控制权限。<\/p>

0x01 环境准备<\/h2>

系统安装<\/h3>

从官网下载"骑士人才系统基础版(安装包)"：http:\/\/www.74cms.com\/download\/index.html<\/li>

安装下载的包<\/li> <\/ol>

版本升级<\/h3>

进入后台查看当前版本<\/li>
如果不是最新版，点击升级<\/li>

本地环境问题解决<\/strong>：

本地环境可能会提示"域名不合法升级失败"<\/li>
解决方法：

编辑文件：74cms\upload\Application\Admin\Controller\ApplyController.class.php<\/code><\/li>
查找所有$_SERVER['HTTP_HOST']<\/code>并替换为http:\/\/baidu.com<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 0x02 漏洞利用<\/h2> 直接利用方法<\/h3> 漏洞触发URL<\/strong>：<\/p> http:\/\/74cms.test\/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),' <\/code><\/pre> Shell路径<\/strong>：<\/p> http:\/\/74cms.test\/Application\/Home\/Conf\/config.php <\/code><\/pre> 物理路径：<\/p> \74cms\upload\Application\Home\Conf\config.php <\/code><\/pre> 完整攻击链（认真版Getshell方法）<\/h3> 利用任意文件读取漏洞<\/strong>：<\/p> 读取系统中的hash值<\/li> <\/ul> <\/li> 利用前台SQL注入漏洞<\/strong>：<\/p> 插入用户数据（系统支持执行双语句）<\/li> 通过MySQL双语句插入一条管理员用户<\/li> <\/ul> <\/li> 利用本后台Getshell漏洞<\/strong>：<\/p> 使用新创建的管理员账户登录后台<\/li> 执行Getshell操作<\/li> <\/ul> <\/li> <\/ol> 0x03 漏洞分析<\/h2> 漏洞文件位置<\/h3> 主要漏洞文件： 74cms\upload\Application\Admin\Controller\TplController.class.php<\/code><\/li> 74cms\upload\Application\Common\Controller\BackendController.class.php<\/code><\/li> <\/ul> <\/li> <\/ol> 漏洞原理<\/h3> 漏洞存在于模板设置功能中，tpl_dir<\/code>参数未经过滤直接拼接写入配置文件，导致攻击者可以通过构造恶意参数将PHP代码写入系统配置文件。<\/p> 0x04 防御建议<\/h2> 输入过滤<\/strong>：<\/p> 对tpl_dir<\/code>参数进行严格过滤，禁止特殊字符<\/li> 使用白名单机制验证输入内容<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 加强后台权限验证<\/li> 实现操作日志记录<\/li> <\/ul> <\/li> 系统升级<\/strong>：<\/p> 升级到最新版本，修复已知漏洞<\/li> <\/ul> <\/li> 配置文件保护<\/strong>：<\/p> 限制对配置文件的直接访问<\/li> 对配置文件所在目录设置严格的权限<\/li> <\/ul> <\/li> <\/ol> 0x05 总结<\/h2> 该漏洞利用简单，危害严重，攻击者可以完全控制网站服务器。建议使用74cms系统的管理员立即检查系统版本，并采取相应的防护措施。<\/p>

74cms v4.2.1-v4.2.129 后台Getshell漏洞分析<\/h1>

0x00 漏洞概述<\/h2> 74cms（骑士人才系统）v4.2.1至v4.2.129版本存在一个后台Getshell漏洞，攻击者可以通过构造特定的URL参数，在系统中写入恶意代码，最终获取服务器控制权限。<\/p>

0x01 环境准备<\/h2>

0x02 漏洞利用<\/h2>

0x03 漏洞分析<\/h2>

漏洞原理<\/h3> 漏洞存在于模板设置功能中，tpl_dir<\/code>参数未经过滤直接拼接写入配置文件，导致攻击者可以通过构造恶意参数将PHP代码写入系统配置文件。<\/p>

0x05 总结<\/h2> 该漏洞利用简单，危害严重，攻击者可以完全控制网站服务器。建议使用74cms系统的管理员立即检查系统版本，并采取相应的防护措施。<\/p>

0x00 漏洞概述<\/h2>
74cms（骑士人才系统）v4.2.1至v4.2.129版本存在一个后台Getshell漏洞，攻击者可以通过构造特定的URL参数，在系统中写入恶意代码，最终获取服务器控制权限。<\/p>

漏洞原理<\/h3>
漏洞存在于模板设置功能中，`tpl_dir<\/code>参数未经过滤直接拼接写入配置文件，导致攻击者可以通过构造恶意参数将PHP代码写入系统配置文件。<\/p>`

0x05 总结<\/h2>
该漏洞利用简单，危害严重，攻击者可以完全控制网站服务器。建议使用74cms系统的管理员立即检查系统版本，并采取相应的防护措施。<\/p>