Author:mOon Blog:www.moonhack.org
upload_filemgr_dir.php
<?php
if(empty($dirname) or $dirname=='uploads/')
{
$dirname = 'uploads/';
$dirhigh = 'javascript:;';
$dirtext = '上传根目录';
}
else
{
$dirarr = explode('/', $dirname);
$curnum = count($dirarr)-2;
$dirhigh = '?mode=dir&dirname=';
$dirtext = '返回上一层';
for($i=0; $i<$curnum; $i++)
{
$dirhigh .= $dirarr[$i].'/';
}
}
?>
鸡肋一 变量$dirname没进过滤
导致各种遍历
登陆后台看看
鸡肋二 文件没进行权限验证 导致越权访问
鸡肋三 同样文件没有进行权限验证upload_filemgr_sql.php
if(!empty($keyword))
{
$sql = "SELECT * FROM `dede_uploads` WHERE name LIKE '%$keyword%'";
}
else
{
$sql = "SELECT * FROM `dede_uploads`";
}
$dopage->GetPage($sql, 50);
while($row = $dosql->GetArray())
{
?>
<tr align="center" class="mgr_tr">
<td height="30"><input type="checkbox" name="checkid[]" id="checkid[]" value="<?php echo $row['path']; ?>" /></td>
<td><?php echo $row['name']; ?></td>
<td><?php echo $row['type']; ?></td>
<td class="number"><span><?php echo GetDateTime($row['posttime']); ?></span></td>
<td><?php echo GetRealSize($row['size']); ?></td>
<td class="action"><span>[<a href="../& lt;?php echo $row['path']; ?>" target="_blank">预览</a>]< /span><span>[<a href="upload_filemgr_save.php?mode=sql& action=del&id=<?php echo $row['id']; ?>&path=& lt;?php echo $row['path']; ?>" onclick="return ConfDel(0);">删除< /a>]</span></td>
</tr>
<?php
}
?>
$keyword 木有进行过滤 导致注入
直接访问 木有找到GetPage函数导致出错 注入变成鸡肋
后台拿webshell
默认模板 找到php文件 直接插入一句话
再送一个找后台方法
Mysql类
function DisplayError($msg)
{
$emsg = '';
$emsg .= '<div><h3 style="color:red;line-height:30px;">请检查执行语句是否正确或录入内容是否正确!</h3>';
$emsg .= '<strong>错误文件</strong>:'.GetCurUrl().'<br />';
$emsg .= '<strong>错误信息</strong>:'.$msg.'';
$emsg .= '</div>';
echo $emsg;
//保存MySql错误日志
$savemsg = 'Page: '.GetCurUrl()."/r/nError: ".$msg;
$fp = @fopen(dirname(__FILE__).'/../data/error/mysql_error_trace.txt', 'a');
@fwrite($fp, "{$savemsg}/r/n/r/n/r/n");
@fclose($fp);
}
网址加 data/error/mysql_error_trace.txt 找后台
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论