php代码审计学习-baijiacms v4

最新推荐文章于 2024-01-20 18:49:15 发布
最新推荐文章于 2024-01-20 18:49:15 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: php代码审计 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42077227/article/details/125138136
版权

php代码审计学习(baijiacms v4代码审计-system任意命令执行)

文章目录

前言

最近及将来一段时间都会利用空闲的时间学习PHP代码审计
记录代码审计学习过程,最近在公众号上看到一篇baijiacms的代码审计分享,因此在没看具体审计内容流程的情况下,先自己学着审计一波。

一、危险函数查找

  1. 使用Seay审计工具进行自动审计发现危险函数 system
    在这里插入图片描述2. 转到system 函数所在的 includes\baijiacms\common.inc.php 文件,可以看到system函数在file_save函数中,进一步查看哪里调用有file_save函数
    在这里插入图片描述查看file_save函数调用
    在这里插入图片描述发现\system\weixin\class\web\setting.php 调用了file_save函数,进行跟进调用处
    在这里插入图片描述 system\weixin\class\web\setting.php 代码内容,从代码来看是一个文件上传类似的功能点
    在这里插入图片描述

二、访问测试

根据\system\weixin\class\web\setting.php文件所在路径拼接url路由。
拼接路由url,跳到该功能点,测试
在这里插入图片描述在file_save函数进行断点调试查看代码执行流程,f7跟进

在这里插入图片描述
在这里插入图片描述到此,发现 需要 $setting[‘image_compress_openscale’] 的值为真才可以进到system危险函数执行命令。

在这里插入图片描述由于image_compress_openscale值默认为0,想办法看看image_compress_openscale的值可不可以设置,查看全局image_compress_openscale是不是可以赋值的。

全局搜索 image_compress_openscale 赋值
在这里插入图片描述跟到image_compress_openscale 赋值的 netattach.php文件
所在路径 system\manager\class\web\netattach.php
在这里插入图片描述根据文件拼接url路由,访问功能点,该功能点就是开启图片压缩比例功能赋值image_compress_openscale为1,开启之后重新登录后台
在这里插入图片描述

三、 构造 payload,触发漏洞

开启image_compress_openscale之后,重新进行断点调试,手动拼接一下system函数执行内容:
system(‘convert-quality 80 C:/phpstudy_pro/WWW/baijiacms4.4/test1.txt’);
在这里插入图片描述正常流程 :执行完后会在C:/phpstudy_pro/WWW/baijiacms4.4/ 目录下生成一个 test1.txt文件
在这里插入图片描述

payload 构造:
分析:system()函数执行内容,在windows执行多条可以 类型管道符可以使用 符号  “|” 或者 “&”
windows文件命名规则:不可以包含以下字符,如果包含以下字符则创建文件会失败
\/:*?"<>|

在这里插入图片描述
在这里插入图片描述在此,windows执行多条命令可以使用&符号,windows文件创建,文件名中也可以包含&符号

 构造文件名执行whoami: test1&whoami&.txt  
system('convert-quality 80 C:/phpstudy_pro/WWW/baijiacms4.4/test1&whoami&.txt');

达到任意命令执行

在这里插入图片描述

总结

新手审计,我太拉了

隐形卟
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4381
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
android-support-v4.jar.zip
05-30
《Android Support Library v4详解》 在Android应用开发中,Android Support Library v4是一个至关重要的组件,它提供了对Android API Level 4及更高版本的向下兼容性,使得开发者可以使用最新的API特性,同时确保...
BaiJiaCms 漏洞挖掘
huohaowen的博客
01-20 542
今天来和大家讲一下baijiacms的漏洞挖掘,小编一般都是黑盒测试,没有对其代码审计,(等小编把常见的漏洞都了解一下在进行代码审计
代码审计之旅之百家CMS
A_991128a的博客
09-13 106
之前审计的CMS大多是利用工具,即Seay+昆仑镜联动扫描出漏洞点,而后进行审计。感觉自己的能力仍与零无异,因此本次审计CMS绝大多数使用手动探测,即通过搜索危险函数的方式进行漏洞寻找,以此来提升审计能力,希望对正在学习代码审计的师傅能有所帮助。
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3162
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
CTF之代码审计汇总
D-R0s1的博客
10-08 7103
  最近在做bugku中代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着bugku中的题目来统一的整理一下。希望通过整理可以温故而知新。 第一题:extract变量覆盖 焦点:extract($_GET) &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(fi...
yolo v4 的代码-darknet-master-yolo-v4
04-24
Darknet框架是YOLOv4实现的基础,它是一个开源的深度学习框架,以其轻量级、快速和易于部署而受到欢迎。 YOLOv4的主要改进包括以下几个方面: 1. **模型结构优化**:YOLOv4采用了多种技术来提高检测性能,包括 ...
android-support-v4.jar各种版本
07-23
内容包含:android-support-v4_1.6.0_26_20120316.jar android-support-v4_1.6.0_26_20120623.jar android-support-v4_1.6.0_26_20120730.jar android-support-v4_1.6.0_26_20121109.jar android-support-v4_1.6.0_26...
android-support-v4.jar最新版
11-13
**Android Support Library v4详解** Android Support Library v4是一个重要的组件,它为Android应用程序提供了向后兼容的功能。这个库使得开发者能够使用最新的API特性,即使目标设备运行的是早期版本的Android...
support-v4-28.0.0.aar
09-23
support-v4-28.0.0.aar,用于Android开发使用的V4库,版本28,方便开发。
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1706
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7997
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
18年护网杯 Easy Laravel Writeup
Tel_milk的博客
11-22 1037
2018护网杯Easy Laravel Writeup,CTF平台攻防世界,难度10
【CSRF技巧拓展】————5、浅谈Session机制及CSRF攻防
Fly_鹏程万里
01-23 1209
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。   早期,客户端与服务端之间的每次信息传递都是...
php代码审计【22】phpcms2008 前台代码执行
司徒荆的博客
07-08 476
hpcms2008 前台代码执行
php代码审计ctf隐藏了目录,ctf中的php代码审计技巧 作者未知_W
weixin_33330762的博客
03-16 293
《ctf中的php代码审计技巧 作者未知_W》由会员分享,可在线阅读,更多相关《ctf中的php代码审计技巧 作者未知_W(15页珍藏版)》请在人人文库网上搜索。1、ctf中的php代码审计技巧 作者:未知原文链接:http:/www.am0s.com/ctf/200.html收集整理:http:/www.nmd5.com/test/index.php本文由 干货12暂无公告 敏感函数 Home ...
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
永远是少年
03-06 2030
今天继续给大家介绍渗透测试相关知识,本文主要内容是PHP代码审计示例——淡然点图标系统SQL注入漏洞审计。 一、关键字查询 二、PHP代码查看 三、验证绕过 四、payload构造与漏洞验证
PHP代码审计
qq_43122583的博客
04-20 225
目录一 . 审计方法二 . 代码审计——BlueCMS1.6(1)SQL注入漏洞(2)common.fun.php的SQL注入漏洞(3)文件包含漏洞(4)一般注册会出现xss漏洞(5)修改个人资料时也会出现xss漏洞三 . 代码审计实战1. 熊海CMS代码审计(1)文件包含漏洞(2)cookies欺骗越权漏洞(3)login.php绕过登录2. PbootCMS代码审计(MVC架构)新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表
php writeup,writeup---你真的会PHP吗?
weixin_31578739的博客
03-29 121
实验吧的一道题php审计题.http://ctf5.shiyanbar.com/web/PHP/index.php抓包发现:hint:......txt是这样的,根据response反馈的信息,我们可以看见 hint(提示)那就打开它看看吧代码审计//条件1:判断是否为数值型if(is_numeric($_REQUEST['number'])){$info="sorry, you cann't i...
e5-2698 V4性能参数
最新发布
06-29
E5-2698 v4是Intel的一种处理器型号,属于Xeon E5-2600 v4系列。下面是关于E5-2698 v4的一些关键性能参数: 1. **核心/线程数**:通常情况下,E5-2698 v4有16个物理核心和32个线程,通过超线程技术每个核心可以同时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值