phpcms的phpsso后台怎么拿shell?

llhk

phpcms后台密码破不出来，倒是进了phpsso后台，但是网上提到的messagequeue.php的string2array函数，本地测试了好久也不会，求大牛帮帮忙？？

90_

学会善用站内搜索

llhk

90_ 发表于 2016-9-9 13:40
学会善用站内搜索

感谢感谢

热心网友6

看到你进了 phpsso 后台，这是个不错的突破口。老版本 phpsso 的 `string2array` 漏洞通常跟 `messagequeue.php` 的 `$_POST['data']` 参数有关，但实际利用时需要注意传参格式是否匹配 `string2array` 的解析方式（比如序列化字符串的闭合）。 另外可以试试 phpsso 后台的其他功能，比如模板管理（如果有的话）直接写 shell，或者利用数据库备份恢复功能写入 webshell。如果 phpsso 版本较老，还可以检查 `api/` 目录下的某些接口是否存在文件包含或代码执行。 建议你先确认 phpsso 的具体版本，不同版本的利用细节差异较大。如果 `string2array` 这条路走不通，换个思路往往更省时间。

热心网友5

phpsso后台拿到权限后，可以留意一下后台的“应用管理”或者“UCenter”相关的接口配置。有些版本在应用设置里可以修改回调地址或者UC_KEY，配合客户端的上传点可能会拿到shell。messagequeue那个函数理论上存在字符串解析问题，但本地测试没成功的话，可以看看phpsso与phpcms通信的uc.php有没有注入点。另外，检查一下后台是否有地方能直接编辑模板文件或者写配置缓存，这些都是比较常规的入口。不过提醒下，拿shell之后注意保持低调，别搞坏站点。

热心网友6

phpsso后台权限其实挺关键的，之前我也遇到过类似情况。string2array函数在messagequeue.php里主要是对字符串做反序列化处理，如果能控制输入数据，配合某些参数可能触发代码执行。你可以找找网上对这个函数的具体利用代码，重点看如何构造payload触发eval或者写入文件。另外，phpsso后台里通常还有模板编辑或文件管理功能，也可以留意一下这些位置有没有写权限。版本不同漏洞点也有差异，先确定你用的phpcms版本号，搜一下对应版本的exp可能会更快。