网络安全检测与防护技术
国家地方联合工程研究中心深圳分中心

靶场科普 | MACCMS渗透实战

发表时间:2021-05-24 15:19

本文由“网络安全检测与防护技术国家地方联合工程研究中心深圳分中心——东塔网络安全学院”总结归纳


靶场介绍

MACCMS渗透实战


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:MACCMS渗透实战”。

一、实验介绍

苹果CMS V8 V10版本存在代码重装漏洞,以及代码后门漏洞,任意文件删除漏洞,通过CNVD-2019-43865的信息安全漏洞通报,可以确认maccms V10存在漏洞,可以伪造恶意代码发送到网站后端进行执行,可以删除网站目录下的任意文件,可删除重装苹果CMS系统的配置文件,导致可以重新安装maccms系统,并在安装过程中插入sql注入代码到数据库中去执行并获取webshell以及服务器权限。

1605862154.png


二、实验目的

1. 通过对mac-cms漏洞进行复现,了解代码后门漏洞等严重漏洞

2. 通过mac-cms的漏洞复现,形成学习思路


三、实验步骤

1. 打开实验环境,熟悉此漏洞的利用方法

2. 按照解题思路,将复现完成,做好总结


四、防御方法

1. 对任意文件删除漏洞做安全过滤与检查,防止del删除的语句的执行
2. 对前端传输过来的参数进行严格的检测,不管是get,post,cookies,如果您对代码不是太懂的话也可以找专业的网站

3. 安全公司来处理解决苹果CMS网站被攻击的问题,
4. 对重装文件进行改名以及安装配置文件进行权限设置,只读权限
5. 对于存在网站木马后门的苹果cms系统,人工对代码进行安全审计,对所有网站
6. 目录下每个代码文件都要仔细的排查,可以下载官方的源代码进行比对

速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条、抖音号:

东塔网络安全学院

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu


插图16-客服二维码.jpg

-免费获取学习资料

电子书籍、试听课程-


插图7-东塔安全学员推文底图.png

点击蓝字
分享我们