基于SensePost研究的CraftCMS远程代码执行漏洞利用工具。
-
final_poc.py- 最终优化的POC- 支持信息泄露和远程代码执行
- 自动asset ID发现
- 多种session注入方法
- 详细的调试模式
-
test.py- 基于原始SensePost文章的简化版本- 包含自动asset ID获取功能
- 使用
yii\rbac\PhpManager方法
-
automated_testing.py- 自动化测试框架- 并发测试多个目标
- 详细的测试报告
- JSON结果输出
exploit_summary.md- 漏洞分析总结test_results.json- 自动化测试结果vulnerable.txt- 已确认漏洞的目标列表
# 基本POC测试
python3 final_poc.py https://target.com/ id
# 调试模式
python3 final_poc.py https://target.com/ "whoami" --debug
# 简化版本
python3 test.py https://target.com/ "ls -la"# 创建目标文件
python3 automated_testing.py --create-targets
# 运行批量测试
python3 automated_testing.py- 信息泄露: 使用
GuzzleHttp\Psr7\FnStream调用phpinfo() - 代码执行: 使用
yii\rbac\PhpManager加载session文件中的PHP代码
- Site Lock保护: 许多CraftCMS站点启用了访问保护
- Session路径: 不同环境的session文件路径可能不同
- WAF拦截: 可能被Web应用防火墙阻止
- 在受保护的站点上可能看不到命令回显
- 建议在未锁定的测试环境中验证
-
升级CraftCMS 到已修复版本:
- 3.9.15+
- 4.14.15+
- 5.6.17+
-
启用Site Lock 保护admin面板
-
限制session文件访问权限
-
部署WAF规则 检测恶意payload
- SensePost CVE-2025-32432 分析
- CraftCMS 官方安全公告
此工具仅用于安全研究和授权的渗透测试。使用者需遵守当地法律法规,不得用于非法用途。