下面我以Ear_Music_20180820_UTF8cms为例,进行对文件下载的代码审计。
常见的下载或读取函数: file_get_contents()、readfile() 、fopen(),或者用seay源代码审计搜索down类似相关的词。
一搜也发现这里的文件漏洞贼多,注入也很多。
我先在页面找到下载的功能点:
这样我们就能进行函数追踪,审视一下这代码了
代码目录为\template\default\source\down.php
当传入一个$file就直接读取这文件了,我们可以看到这个$file经过了geturl函数和getfield函数的处理,我们可以分别跟踪一下
geturl就是取这个对应歌曲的url,然后进行处理拼接,和匹配一些特殊情况而言,没经过什么过滤,就是你读什么文件的路径他就返回什么路径给你。
getfield()函数从函数名称就能看出来是用来获取数据库信息的,没什么特别过滤。
我们就算知道下载读取文件没有漏洞,但是我们的入口在哪里,怎么读?
其实从一开始我们可以看出,这个cms读取文件是对应着id的,只要我们上传一个歌曲就会分到一个id,但是读取的地址lyric是我们上传上去的自己写的,所以我们构建读取文件的payload可以从这里写入。
就是说我们的触发点是这个上传的地址,只要在这里上传一个我们想访问的地址,然后下载这个歌曲歌词,就能下载我们想看的文件了。
审视上传歌词文件:
路径为\source\user\music\ajax.php
一眼锁定lyric参数,看到有checkrename(),unescape(),SafeRequest()三个函数过滤一
个一个看
首先SafeRequest()函数,可以看到addslashes()、实体化和替换 \\ 为 空的过滤
unescape() 函数,乍一看是防止sql注入的,其实也是过滤\\ 的
checkrename()函数,这里是进行了正则匹配,当匹配到: ./ 、 ?iframe= 、 .php? 任意一个时,显示 Safety filter 字段进行过滤,还有函数就是过滤 / 的。
这样我们总结利用一下:
读取路径:
F:\WLGF\software\Php
Study2018\PHPTutorial\WWW\Ear_Music_20180820_UTF8\source\system\user.php
因为/ 过滤了我们可以用 \ 替换,匹配.php?我访问 .php就绕过了,还加?作甚
payload:
F:/WLGF/software/Php
Study2018/PHPTutorial/WWW/Ear_Music_20180820_UTF8/source/system/user.php
成功读取文件。
2521
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
