blue CMS实战(3)

  • A+
所属分类:代码审计

前言:

继上一篇文章继续往下写


%00截断文件包含

根据seay工具的提示,user.php下存在变量,可能存在文件包含漏洞,于是进入到user.php查看代码,很明显的文件包含漏洞,虽然前面加了路径但是可以使用../进行绕过,后面的index.php如果php低版本的话可以使用00截断或者长字符将后面的index.php给删掉。


blue CMS实战(3)

任意文件删除

这个同样这个文件中有多个unlink函数,其中779行face_pic1是用户头像,face_pic3是隐藏的表单值,通过unlink可以达到任意文件删除的效果。

blue CMS实战(3)

blue CMS实战(3)

user.php这个文件就是处理用户的所有操作的,所以我们在更改头像的地方抓包添加face_pic3修改内容,内容为删除的文件。

<imgsrc="image1604117623(1).jpg" alt="blue CMS实战(3)"alt="1604117623(1)"/>

任意文件包含

看到网上其他师傅的文章说在根目录下任意文件读取漏洞在user.php当中,于是跟进到此文件当中,在用户进行登录操作的时候$from变量可控,对目录还进行了base64编码,登录之后的时候会跳转。

blue CMS实战(3)

blue CMS实战(3)

这个参数是通过requests的方式接受的,但是接受的地方一定要进行base64编码才可以,于是我让他读取了自己写的一个phpinfo。因为有session的限制不能读取管理员目录下的文件,并且只能读取网站目录下的文件。作者之所以那么写的原因可能是因为登录会分为几种状态,密码错误,权限不同,用户不存在会跳转到不同的目录下,所以这个地方就造成了任意文件读取漏洞,奇怪的是from参数可控。


blue CMS实战(3)

本文始发于微信公众号(哈拉少安全小队):blue CMS实战(3)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: