CMS下载地址:http://down.chinaz.com/soft/36268.htm

    “万能密码”(鸡肋)
    F12查看元素,发现action=postlogin
    image.png

    admincms/contraller/login.contraller.php 38行
    这里是将提交的用户名和密码与数据里取出的用户名和密码做对比,看似没有问题。但是问题出在PHP处理0e开头md5哈希字符串缺陷/bug(文章分析:https://www.yuque.com/corgi/kva38a/na0i17
    image.png

    如果出现这样场景:一般管理员账号都是admin,但是密码却不一样,如果管理员设置密码经过md5加密后是0E开头,那么就会出现“万能密码”情况。如下:
    image.png
    如果攻击者提交的密码只要经过md5加密后是以0E开头,那么就可以直接登录admin账号。
    例如:
    账号:admin
    密码:s878926199a(md5加密后:0e545993274517709034328855841020)
    一样可以登录admin账号

    任意文件删除
    后台模板管理
    image.png

    admincms/contraller/upfile.contraller.php 317行
    这里删除没有对删除文件路径进行判断
    image.png

    为了演示,提前在view目录下放一个1.txt
    image.png
    image.png