靶场科普 | MACCMS渗透实战

今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“MACCMS渗透实战”。

一、实验介绍

苹果CMS V8 V10版本存在代码重装漏洞，以及代码后门漏洞，任意文件删除漏洞，通过CNVD-2019-43865的信息安全漏洞通报，可以确认maccms V10存在漏洞，可以伪造恶意代码发送到网站后端进行执行，可以删除网站目录下的任意文件，可删除重装苹果CMS系统的配置文件，导致可以重新安装maccms系统，并在安装过程中插入sql注入代码到数据库中去执行并获取webshell以及服务器权限。

二、实验目的

1. 通过对mac-cms漏洞进行复现，了解代码后门漏洞等严重漏洞

2. 通过mac-cms的漏洞复现，形成学习思路

三、实验步骤

1. 打开实验环境，熟悉此漏洞的利用方法

2. 按照解题思路，将复现完成，做好总结

四、防御方法

1. 对任意文件删除漏洞做安全过滤与检查，防止del删除的语句的执行
2. 对前端传输过来的参数进行严格的检测，不管是get,post,cookies，如果您对代码不是太懂的话也可以找专业的网站

3. 安全公司来处理解决苹果CMS网站被攻击的问题，
4. 对重装文件进行改名以及安装配置文件进行权限设置，只读权限
5. 对于存在网站木马后门的苹果cms系统，人工对代码进行安全审计，对所有网站
6. 目录下每个代码文件都要仔细的排查，可以下载官方的源代码进行比对

速度登录https://labs.do-ta.com/ GET起来

现在注册，立得50积分哟 ✌

东塔网络安全学院在各大平台均上线了各项活动和学习内容，快快登录以下各大平台学习起来吧~

微博、腾讯课堂、知乎、今日头条、抖音号：

东塔网络安全学院

哔哩哔哩：东塔网络安全

了解更多活动和咨询欢迎微信添加：dongtakefu