CMS防御测试用例集合

CMS猎人简介

内容管理系统漏洞猎人

CMS防御列表Discuz

• Discuz_ ＜3.4_birthprovince_前台任意文件删除

DedeCMS

• DedeCMS_v5.7_shops_delivery_存储类型XSS

• DedeCMS_v5.7_carbuyaction_存储型XSS

• DedeCMS_v5.7_友情链接CSRF_GetShell

• DedeCMS V5.7 SP2后台存在代码执行漏洞

Drupal

• Drupal远程代码执行突破（CVE-2017-6920）

FineCMS

• FineCMS最新版5.0.8两处getshell

Joomla！

• Joomla_3.7.0_SQL注入（CVE-2017-8917）

• Joomla_3.4.4-3.6.3_未授权创建特权用户（CVE-2016-8869）

大都会资讯

• metinfo多个突破

Seacms

• SeaCMS v6.45前台Getshell代码执行

• seacms6.54代码执行

• seacms 6.55代码执行

• seacms6.61 XSS

• Seacms6.61后台getshell

支柱

• S2-048（CVE-CVE-2017-9791）

ThinkPHP

• ThinkPHP_3.2.3-5.0.10_缓存函数设计缺陷

ThinkSNS

• ThinkSNS_V4后台任意文件下载导致Getshell

WordPress的

• WordPress_4.4_SSRF

• WordPress_4.7_Info_Disclosure

• WordPress_4.7.0-4.7.1_未授权内容注入

• [ Wordpress <= 4.9.6任意文件删除扩展

PHPCMS的

• PHPCMS_v9.6.0_SQL注入

• PHPCMS_v9.6.0_任意文件上传

• PHPCMS_v9.6.1_任意文件下载

• PHPCMS_v9.6.2_任意文件下载

Web逻辑

• CVE-2017-3506和CVE-2017-10271 XmlDecoder

• CVE-2018-2628 T3反序列化

• CVE-2018-2628绕过CVE-2018-2893 T3反序列化

项目维护

• Ourren（新浪微博@ourren）

• Anka9080（新浪微博@ Anka9080）

• sie504

• 熊猫

免责说明

请勿用于非法的用途，否则造成的严重后果与本项目无关。

参考链接

• CxSecurity

• 虫子

转载

转载请注明来自

https://github.com/SecWiki/CMS-Hunter

补充完善

欢迎大家补充完善

Anka9080@foxmail.com

【文章来源】：

https://github.com/SecWiki/CMS-Hunter