前言

终于，在有关部门的大力监管下，上次审计的系统也是迎来了更新，但是上回预测的漏洞并没有产生，于是老板奖励我重新预测，只好准备另辟蹊径。

0x01

首先更新过后增加了magic_quotes_gpc限制，绝大多数注入是无了，命令执行函数也没看到。

于是从简单粗暴的下手，找了找文件上传。

发现一个没限制后缀的上传点。

因为上传点需要校验账号密码，但是默认账号密码又是Admin/123，所以先借用一下，构造数据包。

不用管响应包中的异常提示。

可落地：C:Program Files (x86)RealFriendxxxtempphpsession

根目录：C:Program Files (x86)RealFriendxxxWebRoot

可惜传上去没在网站根目录下面，也没法跨目录传。

其他几个上传点都有后缀限制，简单看了下就先搁下了。

又在/Index/index下发现一个未授权的任意文件读取，还可以跨目录读，只是没有回显。

在checklogin方法中。

开发大哥应该是想读session文件，拼接了sessID。

http://192.168.93.150:8080/index.php?s=/Index/index&sessId=/../../../WebRoot/index.php

继续往下看，大哥写的代码不可谓是不经典。

1.对读出来的数据以“|”进行分割；

2.对分割出来的第4个元素进行反序列化；

3.将为‘user_id‘的键值获取出来进行SQL查询。

这时就产生了一个想法，利用任意文件上传功能上传Payload，让SQL注入的Payload以文件的形式落地，从而绕过magic_quotes_gpc限制。

我们根据代码流程，简单生成一下Payload，默认账户Admin的uid就是usr00000007。

构造|||a:1:{s:7:"user_id";s:20:"usr00000007'or'1'='1";}进行上传。

成功落地，特殊字符不会被转义。

此时SQL就为：SELECT * FROM `xxx` WHERE (user_id='usr00000007'or'1'='1' AND is_group=0 AND is_admin !=1 ) LIMIT 1。

触法漏洞，登录绕过进入后台。

再看看默认的数据库配置，多看一眼就会爆炸。

直接作法。

上传落地。

访问触发。

浅浅拿下。

可惜还是不够完美，如果管理员把默认密码改了不就废了，于是继续找可以绕过登录的点。

0x02

本来想找个可以通过日志的落地payload的点，配合前面的操作。

结果又发现一个注入点。

writelog函数中的insert语句可控。

再看UserIP赋值，从get_userip函数得来。

简直太贴心了。

因为$_SERVER不受magic_quotes_gpc的影响，所以直接注入。

插入成功。

SQLMAP一把梭。

贴心的开发还怕我MD5解不开，数据库中储存与传输中的密码一致。

（而且用Get方法传输账号密码，大概率会在中间件或框架的日志中保存（泄露），如果文件读取有回显就多一条利用链）

最终可以实现稳定的前台绕过magic_quotes_gpc后GetShell。

总结：再不敢乱预测了。

原文始发于微信公众号（听风安全）：漏洞没预测对，老板奖励我重新预测