WonderCMS XSS+远程命令执行漏洞(CVE-2023-41425)

2024-09-07 86 0

WonderCMS介绍:

WonderCMS是一个用PHP编写的开源,快速和小型平面文件CMS。 WonderCMS是一套基于PHP的开源内容管理系统(CMS)。

漏洞概述:

Wonder CMS v.3.2.0 至 v.3.4.2 中的跨站点脚本漏洞允许远程攻击者通过上传到 installModule 组件的精心设计的脚本执行任意代码。

漏洞版本:

v.3.2.0<=Wonder CMS<=v.3.4.2

资产测绘:

FOFA:app="WonderCMS"

搭建测试环境:

使用虚拟机搭建,虚拟机版本为18.04 ,镜像下载地址如下:

https://mirrors.aliyun.com/ubuntu-releases/18.04/ubuntu-18.04.6-live-server-amd64.iso

下载完成后使用vmware 虚拟机搭建

环境搭建需要web 环境,执行以下命令,安装宝塔面板

wget -O install.sh https://download.bt.cn/install/install_lts.sh && sudo bash install.sh ed8484bec

安装完成之后,会给出登录地址以及登录账户和密码

登录后认证手机号即可使用

新建一个网站

下载具有漏洞的Wonder CMS 版本,这里使用wondercms-342.zip ,下


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

BotKube:一款针对Kubernetes集群的安全监控与调试部署工具
Apache OFBiz SSRF漏洞CVE-2024-45507分析
Chainsaw:一款基于Windows事件日志的信息安全取证工具
SEMA:一款基于符号执行的恶意软件分析工具
简单易懂!Java应用中的不安全反序列化
成功破解Tor的匿名性,时序分析攻击技术这么厉害?

发布评论