phpweb前台任意文件上传 | Sunbet
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

phpweb前台任意文件上传

Sunbet_安全预警 申博 182次浏览 已收录 0个评论

测试环境:WindowsXP+PHPnow1.6.5+phpwebV2.0.35

phpweb前台任意文件上传

base/appplus.php 文件中,我们发现一处未过滤的文件上传。但是要利用这处任意文件上传,我们得先绕过第15行的密钥校验。

phpweb前台任意文件上传

全局搜索下 md5(strrev($dbUser.$dbPass)) ,看看有没办法将这个值 leak 出来。这里共搜出4处,而 base/post.php 文件中的代码明显和其他不一样,我们看其具体代码。

phpweb前台任意文件上传

渗透测试实战(一)

写在前面 准备分享一些实战向的、思路比较有趣的文章,算不上系列吧,只是不知道怎么命名好一些。 ​ 工作中某迂回目标的c段服务器,由于各种原因需要迂回战术去搞,所以遇到了文中的站点。对于上传点的利用过程感觉比较有意思,所以准备分享出来当作各位茶余饭后的休闲文章。 注: 由于不可抗拒因素,站点相关图片可能较少,分析过程尽可能详细一些。 登录认证 工作以后,很多时候目标可能只有一个登录框,通常都很头疼。其实常规的手段都尝试一下,深入理解功能点、接口、数据传输形式等等,还是有可能突破的。希望在准备的一些实战总结文章中可以给各位提供一些思路。 通过c段端口扫描发现 .81这台机器开放

我们在 base/post.php 文件中,发现当 $act=”appcode” 时,程序就会将 md5(strrev($dbUser.$dbPass)) 输出,而 $act 完全可控。

phpweb前台任意文件上传

那么攻击步骤就很清晰了。先利用 base/post.php 文件 leakmd5(strrev($dbUser.$dbPass)) 的值,然后再利用 base/appplus.php 上传文件即可。 EXP 如下:

已删除

phpweb前台任意文件上传

参考

https://forum.90sec.com/t/topic/387


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明phpweb前台任意文件上传
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址