关联漏洞
标题:
FUEL CMS 注入漏洞
(CVE-2018-16763)
描述:FUEL CMS是一款基于Codelgniter框架的内容管理系统(CMS)。 FUEL CMS 1.4.1版本中的pages/select/页面的‘filter’参数和preview/页面的‘data’参数存在注入漏洞。该漏洞源于用户输入构造命令、数据结构或记录的操作过程中,网络系统或产品缺乏对用户输入数据的正确验证,未过滤或未正确过滤掉其中的特殊元素,导致系统或产品产生解析或解释方式错误。
描述
Fuel CMS 1.4.1 - Remote Code Execution
介绍
# Fuel CMS 1.4.1 - Remote Code Execution
FUEL CMS 1.4.1 allows PHP Code Evaluation via the pages/select/ filter
parameter or the preview/ data parameter. This can lead to Pre-Auth Remote
Code Execution.
# Install
```bash
git clone https://github.com/Trushal2004/CVE-2018-16763.git
cd CVE-2018-16763/
python3 -m pip install -r requirements.txt
chmod +x exploit.py
./exploit.py
```
# Help
```
$./exploit.py --help
usage: python3 ./exploit.py -u <url>
fuel cms fuel CMS 1.4.1 - Remote Code Execution Exploit
optional arguments:
-h, --help show this help message and exit
-v, --version show the version of exploit
-u url, --url url Enter the url
EXAMPLE - python3 ./exploit.py -u http://10.10.21.74
```
# Demo
# Exploit DB
https://www.exploit-db.com/exploits/50477
文件快照
[4.0K] /data/pocs/c7293c8beb7dcc099424ff0fc45975721d179b1d
├── [1.8K] exploit.py
├── [1.0K] LICENSE
├── [1.0K] README.md
└── [ 18] requirements.txt
0 directories, 4 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。