0x00 背景

代码简介：创文企业网站管理系统PHP版（简称CwCMS），采用PHP+MySQL版···在站长之家上的下载地址为：http://down.chinaz.com/soft/38317.htm。该CMS代码量比较少，写得也比较简单，下面就从安全的角度对其审计一番。

0x00 前言

2016-10-03号，在exploit-db上出了Apache Tomcat 8/7/6 (Debian-Based Distros) - Privilege Escalation，也就是CVE-2016-1240 ，基于Debain的Apache Tomcat权限提升，攻击者在获取到tomcatN的shell之后，可以利用Debain系统在使用package安装的tomcat的启动脚本/etc/init.d/tomcatN中的缺陷，SUID的特性和对geteuid函数的覆盖，得到可使用的rootshell，达到提升权限的目的。本文将会对exploit脚本进行分析，并搭建环境加以复现

0x00 前言

CVE-2016-5734在exploit-db上也就是 phpMyAdmin 4.6.2 - Authenticated Remote Code Execution ，意即phpMyAdmin认证用户的远程代码执行，根据描述可知受影响的phpMyAdmin所有的 4.6.x 版本（直至 4.6.3），4.4.x 版本（直至 4.4.15.7），和 4.0.x 版本（直至 4.0.10.16）。 CVE的作者利用在php 5.4.7之前的版本中preg_replace函数对空字节的错误处理Bug，使注入的代码可远程执行。本文将会对此CVE进行相关分析。

0x00 前言

虽然手速没有别人快，漏洞也比较简单，还是把过程贴出来慢慢努力吧

• 官网v6.1.6版本，http://www.mao10.com/?m=post&a=single&id=44
• 测试环境docker wnameless/mysql-phpmyadmin(apache2，php5，mysql5)

由于该cms第一个注册的用户默认是管理员账户权限较大，其他用户再未特殊的设置下均为普通账户，在测试时需加以注意。（如下说明中admin为管理员账户，larry0x为普通账户）

0x00 前言

先献上flag，以表正义（我有一颗世界和平的心）

Congratulate you, flag is cb6afe419450c23f462159afb9976130

很高兴能够参加这次WooYun Puzzle，从P师傅出的题目中学到些许东西，下面分三步来突破安全盒子的秘密