blue CMS实战(3)

admin 2021年5月10日01:28:36评论71 views字数 696阅读2分19秒阅读模式

前言:

继上一篇文章继续往下写


%00截断文件包含

根据seay工具的提示,user.php下存在变量,可能存在文件包含漏洞,于是进入到user.php查看代码,很明显的文件包含漏洞,虽然前面加了路径但是可以使用../进行绕过,后面的index.php如果php低版本的话可以使用00截断或者长字符将后面的index.php给删掉。


blue CMS实战(3)

任意文件删除

这个同样这个文件中有多个unlink函数,其中779行face_pic1是用户头像,face_pic3是隐藏的表单值,通过unlink可以达到任意文件删除的效果。

blue CMS实战(3)

blue CMS实战(3)

user.php这个文件就是处理用户的所有操作的,所以我们在更改头像的地方抓包添加face_pic3修改内容,内容为删除的文件。

<imgsrc="image1604117623(1).jpg"alt="1604117623(1)"/>

任意文件包含

看到网上其他师傅的文章说在根目录下任意文件读取漏洞在user.php当中,于是跟进到此文件当中,在用户进行登录操作的时候$from变量可控,对目录还进行了base64编码,登录之后的时候会跳转。

blue CMS实战(3)

blue CMS实战(3)

这个参数是通过requests的方式接受的,但是接受的地方一定要进行base64编码才可以,于是我让他读取了自己写的一个phpinfo。因为有session的限制不能读取管理员目录下的文件,并且只能读取网站目录下的文件。作者之所以那么写的原因可能是因为登录会分为几种状态,密码错误,权限不同,用户不存在会跳转到不同的目录下,所以这个地方就造成了任意文件读取漏洞,奇怪的是from参数可控。


blue CMS实战(3)

本文始发于微信公众号(哈拉少安全小队):blue CMS实战(3)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月10日01:28:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   blue CMS实战(3)https://cn-sec.com/archives/255800.html

发表评论

匿名网友 填写信息