前言:
继上一篇文章继续往下写
%00截断文件包含
根据seay工具的提示,user.php下存在变量,可能存在文件包含漏洞,于是进入到user.php查看代码,很明显的文件包含漏洞,虽然前面加了路径但是可以使用../进行绕过,后面的index.php如果php低版本的话可以使用00截断或者长字符将后面的index.php给删掉。
任意文件删除
这个同样这个文件中有多个unlink函数,其中779行face_pic1是用户头像,face_pic3是隐藏的表单值,通过unlink可以达到任意文件删除的效果。
user.php这个文件就是处理用户的所有操作的,所以我们在更改头像的地方抓包添加face_pic3修改内容,内容为删除的文件。
<imgsrc="image1604117623(1).jpg"alt="1604117623(1)"/>
任意文件包含
看到网上其他师傅的文章说在根目录下任意文件读取漏洞在user.php当中,于是跟进到此文件当中,在用户进行登录操作的时候$from变量可控,对目录还进行了base64编码,登录之后的时候会跳转。
这个参数是通过requests的方式接受的,但是接受的地方一定要进行base64编码才可以,于是我让他读取了自己写的一个phpinfo。因为有session的限制不能读取管理员目录下的文件,并且只能读取网站目录下的文件。作者之所以那么写的原因可能是因为登录会分为几种状态,密码错误,权限不同,用户不存在会跳转到不同的目录下,所以这个地方就造成了任意文件读取漏洞,奇怪的是from参数可控。
本文始发于微信公众号(哈拉少安全小队):blue CMS实战(3)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论