欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_安全预警正文

phpweb前台任意文件上传

b9e08c31ae1faa592020-06-0247安全技术漏洞分析

测试环境:WindowsXP+PHPnow1.6.5+phpwebV2.0.35

phpweb前台任意文件上传  安全技术 漏洞分析 第1张

base/appplus.php 文件中,我们发现一处未过滤的文件上传。但是要利用这处任意文件上传,我们得先绕过第15行的密钥校验。

phpweb前台任意文件上传  安全技术 漏洞分析 第2张

全局搜索下 md5(strrev($dbUser.$dbPass)) ,看看有没办法将这个值 leak 出来。这里共搜出4处,而 base/post.php 文件中的代码明显和其他不一样,我们看其具体代码。

phpweb前台任意文件上传  安全技术 漏洞分析 第3张

渗透测试实战(一)

写在前面 准备分享一些实战向的、思路比较有趣的文章,算不上系列吧,只是不知道怎么命名好一些。 ​ 工作中某迂回目标的c段服务器,由于各种原因需要迂回战术去搞,所以遇到了文中的站点。对于上传点的利用过程感觉比较有意思,所以准备分享出来当作各位茶余饭后的休闲文章。 注: 由于不可抗拒因素,站点相关图片可能较少,分析过程尽可能详细一些。 登录认证 工作以后,很多时候目标可能只有一个登录框,通常都很头疼。其实常规的手段都尝试一下,深入理解功能点、接口、数据传输形式等等,还是有可能突破的。希望在准备的一些实战总结文章中可以给各位提供一些思路。 通过c段端口扫描发现 .81这台机器开放

我们在 base/post.php 文件中,发现当 $act="appcode" 时,程序就会将 md5(strrev($dbUser.$dbPass)) 输出,而 $act 完全可控。

phpweb前台任意文件上传  安全技术 漏洞分析 第4张

那么攻击步骤就很清晰了。先利用 base/post.php 文件 leakmd5(strrev($dbUser.$dbPass)) 的值,然后再利用 base/appplus.php 上传文件即可。 EXP 如下:

已删除

phpweb前台任意文件上传  安全技术 漏洞分析 第5张

参考

https://forum.90sec.com/t/topic/387


网友评论

1条评论
  • 2020-06-02 00:00:49

    Allbet Gamingwww.netbuil.com欢迎进入欧博平台网站(Allbet Gaming),Allbet Gaming开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博真人游戏(百家乐)等业务。是专职作家吗