轻取帝国CMS管理员密码
“帝国”CMS是一套著名的PHP整站程序,是国内使用人数最多的PHP CMS程序之一。令人无奈的是,“帝国”虽然把势力壮大了,却忽略了自身防护的建设,结果在黑客攻击攻击下,“帝国”沦陷了。“帝国”CMS曝出的漏洞能 够让黑客在1分钟内拿到管理员的账户密码,之后更能轻松获取webshell。下面让我们一起来对“帝国”CMS进行一次入侵检测。
漏洞成因
都说安全是一个整体,千里之堤毁于蚁穴,往往一个看似坚不可摧的网站系统,在某个不被注意的角落出现了一个极小的疏忽,结果导致整个网站被黑客攻陷。“帝国”CMS正是这样被攻破的,先让我们来探索问题的究竟。
问题出在“帝国”CMS附带的留言板程序上,由于留言板功能相对于“帝国”CMS而言显得较为鸡肋,因此很少有站长重视它,可问题却偏偏出现在 留言板的代码中。由于变量过滤不严,黑客可以在留言板中执行一些越权操作,例如读取数据中的任意数值。当然要拿到管理员的账户和密码也就不在话下了。
漏洞的利用
暴出管理员账户名和密码
使用“帝国”CMS的网站很多,因此找测试的目标很容易。我们直接打开“帝国”的官方网站:,依次点击导航栏处的“服务项目”→“部分案例”,这里链接了600多个采用“帝国”CMS的网站,足够让我们进行测试了。
我们在其中挑选一个打开进行测试,在网站域名后输入:e/tool/gbook/?bid=1并回车,这样就打开了“帝国”CMS的留言功能。触发漏洞的步骤为:
Step1.在“姓名”处输入:縗
Step2.在“联系邮箱”处输入:,1,1,1,(select concat(username,0x5f,password,0x5f,rnd) from phome_enewsuser where userid=1),1,1,1,0,0,0)/*
Step3.“留言内容”随意填写,输入完毕后点击“提交”按钮。
图1.暴出的管理员账户名和密码
如果漏洞成功触发,我们会在留言列表中看到暴出的管理员账户名和密码。但不要高兴得太早,因为曝出的密码是经过MD5加密的32位密文,如果破解不出是毫无意义的。
破解MD5密码
打开MD5在线破解网站:,在页面正中的文本框中输入加密过的32位密文,然后点击“MD5加密或解密”按钮,运气不错的话我们可以得到密码原文,本例中得到的密码原文为“happytime”。
上传webshell
拿到管理员账户名和密码后,我们就可以登录网站后台了。在域名后输入“e/admin/”并回车,出现登陆验证页面,输入账户名“admin”和密码“happytime”进行登录。
在后台我们依次点击“模板管理”→“增加自定义”链接。在“增加自定义”页面中,我们在“文件名”中输入需要建立的webshell文件名,为了隐 蔽性,最好取和网站自身文件比较接近的文件名,例如ListQz.php。然后在“页面内容”中输入php木马的内容,其他项目可以随意填写,输入完毕后 点击“提交”。下面只要我们访问:***.com/e/admin/ListQz.php这个地址,一个令人激动地webshell就会出现了。