74cms漏洞分析

最新推荐文章于 2024-03-25 09:16:23 发布
最新推荐文章于 2024-03-25 09:16:23 发布
阅读量4.1k 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/wangshuwin/p/7358826.html
版权

很早以前的一个洞,看到很有意思就拿来看看

这是雨曾经审过的一个洞,因为读取方式很特别复现了一下

upload\plus\weixin.php

public function responseMsg()
    {
		if(!$this->checkSignature())
		{
        	exit();
        }
		$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
		if (!empty($postStr))
		{
                
              	$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
                $fromUsername = $postObj->FromUserName;
                $toUsername = $postObj->ToUserName;
                $keyword = trim($postObj->Content);
				$keyword = iconv("utf-8","gb2312",$keyword);
                $time = time();
				$event = trim($postObj->Event);
				if ($event === "subscribe")
				{
					$word= "�ظ�j���ؽ����Ƹ���ظ�n����������Ƹ�������Գ�������ְλ�����硰��ơ���ϵͳ���᷵����Ҫ�ҵ���Ϣ������Ŭ�����������Ի��ķ���ƽ̨��лл��ע��";
					$text="<xml>
					<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
					<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
					<CreateTime>".$time."</CreateTime>
					<MsgType><![CDATA[text]]></MsgType>
					<Content><![CDATA[".$word."]]></Content>
					</xml> ";
					exit($text);				
				}	 
               	if (!empty($keyword))
				{
				
					if($_CFG['sina_apiopen']=='0')
					{
							$word="��վ΢�Žӿ��Ѿ��ر�";
							$text="<xml>
							<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
							<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
							<CreateTime>".$time."</CreateTime>
							<MsgType><![CDATA[text]]></MsgType>
							<Content><![CDATA[".$word."]]></Content>
							</xml> ";
							exit($text);
					}
				
										$limit=" LIMIT 6";
										$orderbysql=" ORDER BY refreshtime DESC";
										if($keyword=="n")
										{
											$jobstable=table('jobs_search_rtime');			 
										}
										else if($keyword=="j")
										{
											$jobstable=table('jobs_search_rtime');
											$wheresql=" where `emergency`=1 ";	
										}
										else
										{
										$jobstable=table('jobs_search_key');
										$wheresql.=" where likekey LIKE '%{$keyword}%' ";
										}
										$word='';
										$list = $id = array();
										$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
										while($row = $this->fetch_array($idresult))
										{
										$id[]=$row['id'];
										}
										if (!empty($id))
										{
										$wheresql=" WHERE id IN (".implode(',',$id).") ";
										$result = $this->query("SELECT * FROM ".table('jobs').$wheresql.$orderbysql);	
											while($row = $this->fetch_array($result))
											{
											//$row['jobs_url']=url_rewrite('QS_jobsshow',array('id'=>$row['id']));
											$row['addtime']=date("Y-m-d",$row['addtime']);
											$row['deadline']=date("Y-m-d",$row['deadline']);
											$row['refreshtime']=date("Y-m-d",$row['refreshtime']);
											$word.="{$row['companyname']}\n��Ƹְλ��{$row['jobs_name']}\nн�������{$row['wage_cn']}\n��Ƹ������{$row['amount']}\n�������ڣ�{$row['addtime']}\n��ֹ���ڣ�{$row['deadline']} \n--------------------------\n";
											}
										}
										if(empty($word))
										{
											$word="û���ҵ������ؼ��� {$keyword} ����Ϣ�����������ؼ���";
											$text="<xml>
											<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
											<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
											<CreateTime>".$time."</CreateTime>
											<MsgType><![CDATA[text]]></MsgType>
											<Content><![CDATA[".$word."]]></Content>
											</xml> ";
											exit($text);
										}
										else
										{
												$word=rtrim($word,'/\n');
												$word=rtrim($word,'-');
												$text="<xml>
												<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>
												<FromUserName><![CDATA[".$toUsername."]]></FromUserName>
												<CreateTime>".$time."</CreateTime>
												<MsgType><![CDATA[text]]></MsgType>
												<Content><![CDATA[".$word."]]></Content>
												</xml> ";
												exit($text);
										}	 
				}
				else 
				{
				exit("");
				}
    	}
	}

 首先看到一个sql语句
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
倒回去跟进几个变量


$orderbysql=" ORDER BY refreshtime DESC"
$limit=" LIMIT 6";
且当$keyword!=n/j时
$wheresql.=" where likekey LIKE '%{$keyword}%' ";


接着看$keyword
$keyword = trim($postObj->Content);
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];


重点来了$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个东西其实基本上等于$_POST
唯一一点区别就是前者能接受不是php能识别的东西。


$postStr就是直接post过来的数据,没有经过任何处理,而且$GLOBALS["HTTP_RAW_POST_DATA"]这样传入进来的数据
可以无视gpc。
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);当然这里的$postStr应该是传入
xml然后经过simpxml_load_string解析。然后把xml解析过后的直接传入Content这就可以导致任意文件读出。

接着再看看条件

if(!$this->checkSignature())
		{
        	exit();
        }

 跟进这个函数看看
在131到150行

private function checkSignature()
	{
        $signature = $_GET["signature"];
        $timestamp = $_GET["timestamp"];
        $nonce = $_GET["nonce"];        		
		$token = TOKEN;
		$tmpArr = array($token, $timestamp, $nonce);
		sort($tmpArr);
		$tmpStr = implode( $tmpArr );
		$tmpStr = sha1( $tmpStr );		
		if($tmpStr == $signature )
		{
			return true;
		}
		else
		{
			return false;
		}
	}
}

 所以在默认条件下,没有wx_token时,这个$tmpStr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,这是一个固定的值了,我们是完全可以利用上面的漏洞读入任意文件。

构造pyload

<?xml version="1.0" encoding="utf-8"?>
    <! DOCTYPE ANY [
    <!ENTITY % test SYSTEM "file:///c:/windows/win.ini">
    ]>

 post传入这个可以读取

 

转载于:https://www.cnblogs.com/wangshuwin/p/7358826.html

aihuochou9723
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
刷洞2---74cms注入漏洞
river
05-17 2295
基础积累: 1.在我们拿到一套源码的时候,首先需要寻找连接数据库的密码和网站后台的密码。 第一种方法是看文件名,看看有没有明显的config.php global_function.php类似的文件。 第二种方式是全局搜索 &amp;quot;new mysql(&amp;quot; &amp;quot;mysqli_connect(&amp;quot; &amp;quot;new PDO&amp;quot; 这个是php连接数据库的常用操作,
74CMS 5.0.1后台getshell(CVE-2020-35339)分析
qq_41252520的博客
02-18 2751
0x0 漏洞简介 骑士人才系统是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才招聘系统。由太原迅易科技有限公司于2009年正式推出。为个人求职和企业招聘提供信息化解决方案, 骑士人才系统具备执行效率高、模板切换自由、后台管理功能灵活、模块功能强大等特点,自上线以来一直是职场人士、企业HR青睐的求职招聘平台。经过7年的发展,骑士人才系统已成国内人才系统行业的排头兵。系统应用涉及政府、企业、科研教育和媒体等行业领域,用户已覆盖国内所有省份和地区。 2016年全新推出骑士人才系统基础版,全新的
74cms漏洞寻找
wanderdjjs的博客
03-04 291
这也就意味着该靶场存在xss漏洞,显示结果说明是过滤了 测试是否能显示网站cookie值。2.打开浏览器,在界面输入:IP/74cms/upload/install。1.安装完小皮之后,打开根目录,将74cms文件拖进根目录。注册结束之后进入靶场内部,我们可以选择前端和后端。这里我们选择后端,输入之前的用户名密码 进入。# 仅仅是娱乐所写,文章不够严谨,请勿见怪。1.在个人区域界面,点击搜索区域。会显示本机的IP地址和token值。3.正常我们输入是没有反馈的。这也就意味着存在文件包含漏洞
java 远程执行linux命令_Pikachu-RCE远程命令执行漏洞
weixin_39597323的博客
11-19 326
RCE:远程代码、命令执行漏洞给攻击者向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如...
代码审计 => 74cms_v3.5.1.20141128 一系列漏洞
Berry2014的博客
06-07 503
0x01 前言   最近开始在学习代码审计了,以前几次学习代码审计都因为不知道如何下手,和代码的复杂就放弃了,这一次算是真正的认真学习,同时seay所编写的《代码审计 企业级Web代码安全架构》让我这个初学者能够入门。思路特别棒。我审的第一个CMS74cms_v3.5.1_20141128版本的,很早之前的了。H''Homaebic师傅教会了我很多思路。抱拳了老铁。 0x02 假...
php cms 2008漏洞分析
11-25
Phpcms 2008的yp/product.php页面的pagesize参数存在代码注入漏洞,可以执行任意脚本代码。
PHP漏洞挖掘(六):PHP常见CMS漏洞分析——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(六):PHP常见CMS漏洞分析——课程资源百度网盘下载,亲测真实有效可用!包含视频+课程资料.zip,在知识星球中也分享了该资源,知识星球:W小哥
云业CMS(yunyecms)的多处SQL注入审计分析.pdf
03-24
云业CMS(yunyecms)的多处SQL注入审计分析
WEB漏洞集合
10-08
常见的网站漏洞集合,利用代码、利用工具以及漏洞的技术分析
bagecms V3.1.3 后台任意文件读取漏洞1
08-03
漏洞简介:BageCMS是一套基于PHP和MySQL的跨平台的内容管理系统(CMS)。管理功能过滤不严导致任意文件读取漏洞。##漏洞分析在文件 www\prot
74CMS模版注入漏洞复现
sGanYu
04-15 1664
骑士cms人才系统,是一项基于php+mysql为核心开发的一套免费+开源业人才软件系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。全部代码都为骑士网络原创,有着完全的知识产权。凭借骑士网络的不断创新精神和认真的工作态度,骑士人才系统已成国内同类软件中的最好用的人才系统。 该漏洞影响版本: CMS < 6.0.48 漏洞复现 url: http://目标IP地址/index.php?m=home&a=assign_resume_tpl 以post方.
74CMS漏洞复现
小小猪的博客
12-01 4046
74CMS漏洞复现 漏洞描述: 由于74CMS 某些函数存在过滤不严格,攻击者通过构造恶意请求,配合文件包含漏洞可在无需登录的情况下执行任意代码,控制服务器。 影响范围: 74CMS_v5.0.1 版本低于6.0.48 环境复现: 这里采用安鸾渗透实战平台的靶机 地址 漏洞复现: 访问http://www.whalwl.site:8019/index.php?m=home&a=assign_resume_tpl发现报错 访问 www.whalwl.site:8019/in..
74cms 6.0.20 getshell
m0_51377238的博客
12-16 249
骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才网站系统。软件具执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。http://serverName/index.php/模块/控制器/操作m参数表示模块,c参数表示控制器,a参数表示操作/方法,后面的表示其他GET参数。
渗透年入百万人才管理系统【附poc】
最新发布
jijisaq的博客
03-25 735
骑士cms人才系统,是一项基于PHP+MYSQL为核心开发的一套免费 + 开源专业人才网站系统。全部代码都为骑士网络原创,有着完全的知识产权。凭借骑士网络的不断创新精神和认真的工作态度,骑士人才系统已成国内同类软件中的最好用的人才系统。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。公众号:「吉吉说安全」,对我发消息【20240325】免费获取poc。
漏洞复现】74cms任意文件读取
失心少年
11-02 512
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!74CMS 是一款国内用的比较多招聘网站管理系统(Job Board CMS),专注于招聘和人力资源领域的网站建设,存在任意文件读取漏洞
骑士 74CMS V3.4漏洞
weixin_61842894的博客
02-07 733
骑士 74CMS V3.4
74cms v5.0.1 漏洞复现
p_lang的博客
04-30 3092
一、环境搭建 这里用到PHPstudy+VMware+Windows7(IP:192.168.253.131)进行环境搭建,且是在本地进行测试。 1.首先在官网下载74cms v5.0.1版本的安装包:http://www.74cms.com/download/index.html 2.将下载好的压缩包文件解压并放至PHPstudy的WWW目录下。 3.打开 192.168.253.131/74cms_Home_Setup_v5.0.1/upload/install.php 并系统安装。 OK,
内网渗透-src挖掘-互联网打点到内网渗透-2023年2月
qq1140037586的博客
02-13 567
内网渗透的突破口是我们如何得到一个内网的个人机或是内网的服务器,我个人的经验有三种,一是从外网分站渗透到内网,二是发木马信得到内网机器,三是利用取得信任得到内网机器。
熊海cms1.0 漏洞
07-25
- *1* *3* [熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)--文件包含漏洞](https://blog.csdn.net/qq_28624871/article/details/114745946)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值