PHP 代码审计之文件删除

最新推荐文章于 2023-05-06 14:45:06 发布
最新推荐文章于 2023-05-06 14:45:06 发布
阅读量301 收藏
点赞数
分类专栏: 代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/82286083
版权

0x00:前言

CMS 后台很多栏目有上传文件功能,上传漏洞先暂时搁浅,在代码处理的时候,有删除旧文件这个操作,所以先审计下看有没有删除文件的漏洞。

0x01:代码追踪

首先打开后台基本每个栏目都有上传资料上传图片的功能,这里就已产品栏为例,其目录在 product/admin 下,打开 modifyinfo.php,找到上传图片的代码,如下:

//删除旧图
if(!empty($_POST['delphoto'])){
    foreach($_POST['delphoto'] as $val){
        $strOldFile = $arrGPic['FileSavePath'].'s/'.$_POST['savephoto'][$val];
        if (is_file($strOldFile)) {    // 缩略图删除
            unlink($strOldFile);
        }
        $strOldFile = $arrGPic['FileSavePath'].'b/'.$_POST['savephoto'][$val];
        if (is_file($strOldFile)) {    // 原文件删除
            unlink($strOldFile);
        }
        unset($_POST['photo'][$val]);
    }
}

这里修改产品信息的时候,对于接收 savephoto 值时并没有做相关的处理操作,而是直接拼接到了文件保存路径中,然后直接调用 unlink 进行了删除。也就意味着可以修改下文件名加上../ 来越目录。

这里验证的时候碰到些问题,第一个是代码会首先判断 delphoto 变量是否存在,这是基础,没有这个值是走不了删除这一步的,之前验证的时候,拦截的数据包中并没有这个值,后来发现是编辑产品信息时,并没有删除图片这个操作,只有删除了原图,发送请求时才会有这个 delphoto 参数,功能是这样的:

请输入图片描述

第二个时,拦截数据包后有 delphoto 参数后,直接修改 savephoto 的名字为../../../../test.txt 没有生效,为了测试我在根目录下新建了一个 test.txt,后来发现是越多了,如果渗透过很多文件下载漏洞,../../../../etc/passwd 用多了的话,就会自然想着../ 能多不能少,这里只需要越三层,多了会直接到电脑盘符,所以会发现 test.txt 还在。

0x02:渗透验证

修改产品时,删除原来的旧图,然后选择新图片,保存时拦截请求包并修改相应数据,如下图:

请输入图片描述

0x03:修复建议

修复时建议对删除路径中的可控变量进行特殊字符过滤,不允许包含. 和 / 等。

                                                                       公众号推荐:aFa攻防实验室

                         分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                         

aFa攻防实验室
关注
专栏目录
Java代码审计文件上传漏洞详解
悦分享
01-23 330
文件长传漏洞是指攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马、病毒、恶意脚本或这Webshell等。文件上传漏洞条件上传的文件能被Web服务器当做脚本来执行我们能够访问到上传文件的路径服务器上传文件命名规则第一种:上传文件名和服务器命名一致第二种:上传文件名和服务器命名不一致(随机、时间日期命名等),但是后缀一致第三种:上传文件名和服务器命名不一致(随机、时间日期命名等),后缀也不一致漏洞成因。
PHP代码审计之基础篇
热门推荐
Mi1k7ea
04-18 1万+
最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~ 前期准备: 1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业
代码审计之bluecms1.6管理后台任意文件删除
Kr的博客
11-06 839
初次接触PHP代码审计,靠自己的眼神审到第一个垃圾洞还是有点小激动... 执行删除功能的链接: http://127.0.0.1/bluecms_v1.6_sp1/uploads/admin/database.php?act=del&file_name=test.txt 需要登录后台   先分析一下代码: act参数: 删除功能实现代码: 当act参数为del时,进...
PHP-代码审计-文件删除
weixin_44110913的博客
08-28 175
概述 文件删除漏洞出现在文件管理功能的应用上比较多,这些应用一般也都有文件上传和读取的功能,删除原理漏洞原理跟文件读取漏洞差不多,利用的函数不一样而已 函数 常出现的函数是unlink() 挖掘经验 直接搜索带有参数变量的unlink(),依然采用回溯的方式即可 代码分析 任意文件删除分析 if($action=='delete'){ if(is_array($filenames)){ foreach($filenames as $filename){ if fileext($fil
PHP代码审计 ----- 任意文件读取 & 删除漏洞
qq_62344745的博客
04-19 932
通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件正常读取的文件没有经过校验或者不严格,用户可以控制这个变量读取任意文件
php防止文件删除,php 删除文件或者目录, 安全性问题分析.
weixin_39705850的博客
03-20 302
$datadir = './cache/attesavefile/';$dbfile = '/a/b/c/d/242423.jpg'; // 这个路径通常在数据库,unlink($datadir.$dbfile); // 删除之.# 假如dbfile变量转化如下, 那问题就严重了.$dbfile = '../../..//d/242423.jpg'; // 往上走了几层,$dbfile = '/a...
php任意文件删除漏洞,phpyun二次任意文件删除漏洞
weixin_42513870的博客
04-02 213
### 简要描述:只要有任意文件删除 这系统绝对崩。我吐个槽,最新的过滤文件实在是太BT了,只要有select and .... 就die()伤不起啊### 详细说明:问题出在 friend\model\index.class.php[](https://images.seebug.org/upload/201401/0119250873aadf723cab3eb6a38f52ad7625c...
PHP代码审计音频文件.zip
11-02
任务26:漏润实战之任意文件删除漏洞mp4 任务25:漏洞实战之任意文件写入漏洞mp4 任务24:漏洞实战之CSRF漏洞mp4 任努23:漏洞实战之代码执行漏洞mp4 任务22:漏洞实战之存储型 XSS. mp4 任务21:漏洞实战之系统SQL...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
在网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
PHP代码审计文档.zip
11-02
第26课:漏润实战之任意文件删除漏洞mp4 第25课:漏洞实战之任意文件写入漏洞mp4 第24课:漏洞实战之CSRF漏洞mp4 第23课:漏洞实战之代码执行漏洞mp4 第22课:漏洞实战之存储型 XSS. mp4 第21课:漏洞实战之系统SQL...
PHP代码审计 ----- 实战之任意文件删除
最新发布
qq_62344745的博客
05-06 258
都不会对后续的unlink()产生影响 ,那就存在任意文件删除漏洞。先看in()函数 ,查找一下function in(这样方法名,可能进不去,直接进首页里面看一下。fname是get传过来的,直接?文件名,模块,控制器,操作方法,再 看 del_dir()函数。先删除文件,再删除目录,并不会对../产生影响。通过../来任意删除
安全删除和恢复文件的脚本
积累与分享
12-23 928
<br />由于现在的linux文件系统大多是etx3的,一不小心删除后是无法恢复的(至少我不知道),而rm是个很危险的操作!鉴于此我写了这俩小脚本,希望GGJJ们指点!<br />1,用root修改rm的权限:<br />#chmod o-x /bin/rm<br />2,在用户主目录下创建个"垃圾箱"<br />$mkdir ~/.temp<br /><br />删除文件脚本: <br />cat erase<br />#!/bin/ksh<br />(($#==0)) && { echo "No p
PHP代码审计——任意文件删除漏洞(YXcms)
W小哥
08-20 1058
一、代码审计 删除文件的代码在del()方法,首先通过GET方式接收参数fname传递过来的的值,然后执行in()函数 跟踪in()函数,发现in函数接收过来的值分为两种情况:字符串、数组。对删除文件没有任何防止,可以不用管 htmlspecialchars():— 将特殊字符转换为 HTML 实体 trim():— 去除字符串首尾处的空白字符(或者其他字符) 返回查看del()函数,其中第二行 dirs=strreplace(′,′,′/′,dirs=str_replace(',','/',dirs=
PHP漏洞全解————10、PHP文件包含漏洞
Fly_鹏程万里
07-05 8592
基本相关函数&lt;&gt;php中引发文件包含漏洞的通常是以下四个函数:include()include_once()require()require_once()reuqire() 如果在包含的过程中有错,比如文件不存在等,则会直接退出,不执行后续语句。...
PHP实现删除文件夹内的文件的功能
匆匆忙忙
12-02 1万+
PHP实现文件夹内的文件删除功能,大多会用到unlink这个函数。如果要删除指定的文件直接unlink(文件地址),如果要删除一个文件夹内的所有文件,肯定要遍历文件夹,或者找到一个函数能够知道文件夹内是不是有东西,如果有文件,就继续删除删除哪一个,那么又需要一个函数实现得到文件夹内某个文件文件名的功能。 关于遍历文件PHP中在文件系统相关扩展中,有Directory这个库,
php 去除多余
weixin_30791095的博客
11-10 347
\s 匹配任何空白字符,包括空格、制表符、换页符等等 $str = "i am book\n\n\n\n\nmoth"; //去除所有的 echo preg_replace("/[\s]{2,}/","",$str); //去除多余的,保留一个 echo preg_replace("/([\s]{2,})/","\\1",$str); 转载于:https://w...
Discuz全版本任意文件删除漏洞
zsd747289639的博客
09-30 4847
Discuz全版本任意文件删除漏洞验证用的版本:discuz3.2 0x1首先在根目录下新建一个文件 0x2 构造poc1修改出生地区 注意其中的formhash需要替换掉,具体是在源码中找。 为什么这里要替换掉formhash呢? 一开始不太清楚,网页会报错,如下看到了有一个xss验证蛮去找一下这个文件private function _xss_check() { stat
代码审计】YzmCMS_PHP_v3.6 任意文件删除漏洞分析
12-03 1350
  0x00 环境准备 YzmCMS官网:http://www.yzmcms.com/ 程序源码下载:http://pan.baidu.com/s/1pKA4u99 测试网站首页:   0x01 代码分析 1、文件位置: /application/member/controller/member.class.php 第118-132行中: public functio...
PHP代码审计:RCE、文件操作与安全漏洞解析
则可能涉及文件删除操作。分析和测试这些URL,可以帮助我们理解漏洞的工作原理,从而制定防御策略。 最后,文章还给出了实际案例,如xhcms的文件包含跨站漏洞和earmusic的文件下载漏洞,提醒我们在审计代码时不仅要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值