ThinkSNS2.5前台getshell+后台任意文件删除

最新推荐文章于 2024-03-15 14:30:00 发布
最新推荐文章于 2024-03-15 14:30:00 发布
阅读量197 收藏
点赞数
文章标签: php shell 数据库
原文链接:http://www.cnblogs.com/test404/p/7302516.html
版权

12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看

 

漏洞文件再根目录thumb.php中

 1 <?php
 2 /*
 3  * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r"
 4  * thumb.php?url=/thinksns/data/userface/000/00/00/41_middle_face.jpg?1247718988&w=20&h=20
 5 */
 6 error_reporting(0);
 7 set_time_limit(30);
 8 $biggest_memory_limit    =    256; //单位M,后缀不要加M
 9 //全局定义文件
10 //require 'define.inc.php';
11 
12 //临时目录
13 $tempDir    =    "./data/thumb_temp/";
14 checkDir($tempDir);
15 
16 //分析URL
17 $url    =    urldecode($_GET['url']);
18 
19 //XSS脚本攻击探测
20 //include THINK_PATH.'/Vendor/xss.php';
21 //DetectXSS($url);
22 
23 //2009-10-7 修改 将本地图片修改成相对地址,避免file_get_contents不能读取远程文件时出错(可修改php.ini  设置 allow_fopen_url 为 true)
24 //$url =  str_ireplace(SITE_URL,'.',$url);
25 if(file_exists($url)){
26     $url    =    $url;
27     
28 }elseif($result    =    GrabImage($url,$tempDir)){
29     $url    =    $result;
30     $grab_temp_file    =    $result;
31 }else{
32     $url    =    "./public/images/nopic.jpg";
33 }
34 
35 //解析参数
36 $w = $_GET['w']?$_GET['w']:'100';    //宽度
37 $h = $_GET['h']?$_GET['h']:'100';    //高度
38 $t = $_GET['t']?$_GET['t']:'c';        //是否切割
39 $r = $_GET['r']?'1':'0';            //是否覆盖
40 
41 
42 
43 //目录名hash
44 $fileHash    =    md5($url.$w.$h);
45 $hashPath    =    substr($fileHash,0,2).'/'.substr($fileHash,2,2).'/';
46 
47 //缩图目录
48 $thumbDir    =    "./data/thumb/".$hashPath;
49 checkDir($thumbDir);
50 
51 $tempFile    =    $tempDir.$fileHash.'.'.$sourceInfo['type'];
52 
53 $thumbFile    =    $thumbDir.$fileHash."_".$w."_".$h."_".$t.'.'.$sourceInfo['type'];
54 
55 $img        =    new Image();
56 //判断是否替换,存在则跳转,不存在继续进行
57 if(!$r && file_exists($thumbFile)){
58     //这里有2种方法,第一种多一次跳转,多一个http连接数,第二种,要进行一次php处理,多占用一部分内存。
59     //header('location:'.$thumbFile);
60     $img->showImg($thumbFile);
61 }
62 
63 //不存在输出
64 if(copy($url,$tempFile)){
65     //判断图片大小 如果图片宽和高都小于要缩放的比例 直接输出
66     $info    =    getimagesize($tempFile);
67 
68     //判断处理图片大约需要的内存
69     $need_memory    =    (($info[0]*$info[1])/100000);
70     $memory_limit    =    ini_get('memory_limit');
71     if( ($need_memory > $memory_limit) && ($need_memory <= $biggest_memory_limit) ){
72         ini_set('memory_limit',$need_memory.'M');
73     }
74 
75     if($info[0]<=$w && $info[1]<=$h){
76         
77         copy($tempFile,$thumbFile);
78         $img->showImg($thumbFile,'',$info[0],$info[1]);
79         unlink($tempFile);
80         unlink($grab_temp_file);
81         exit;
82     }
83     else{
84 
85         //生成缩图
86         if($t=='c'){
87             $thumb    =    $img->cutThumb($tempFile,$thumbFile,$w,$h);
88         }elseif($t=='f'){
89             $thumb    =    $img->thumb($tempFile,'',$thumbFile,$w,$h);
90         }
91         //输出缩图
92         $img->showImg($thumb,'',$w,$h);
93         unlink($tempFile);
94         unlink($grab_temp_file);
95         exit;
96     }
97 }

第17行获取了url参数

第28行进入了GrabImage函数

//获取远程图片
function GrabImage($url,$thumbDir) {
    if($url=="")    return false;
    $filename    =    md5($url).strrchr($url,".");
    $img        =    file_get_contents($url);
    if(!$img)        return false;

    $filepath    =    $thumbDir.$filename;
    $result        =    file_put_contents($filepath,$img);
    if($result){
        return $filepath;
    }else{
        return false;
    }
}

获取url参数的内容  并写入了filepath中截取了一下

./data/thumb_temp/7588534a6998ec36787cf997e688a8d6
第53行 重新构造文件名
$thumbFile    =    $thumbDir.$fileHash."_".$w."_".$h."_".$t.'.'.$sourceInfo['type'];

这里$t传入.php

第77行 完成了复制的操作

copy($tempFile,$thumbFile);

导致了getshell 

 

 

在后台数据库导入的地方

 1     function import(){
 2         $filename = $_GET['filename'];
 3         $sqldump = '';
 4         $file = './data/database/'.$filename;
 5         //die($file);
 6         if(file_exists($file)){
 7             
 8             $fp = @fopen($file,'rb');
 9             $sqldump = fread($fp,filesize($file));
10             
11             fclose($fp);
12         }
13         
14         $ret = D('Database')->import($sqldump);
15         if($ret) {
16             $this->success('导入成功');
17         }else{
18             $this->error('导入失败');
19         }
20     }

首先文件名没有进行过滤  可以遍历读取到东西之后进入了另外一个import函数

跟进一下

    public function import($sqldump){
        $sqlquery = $this->splitsql($sqldump);
        var_dump($sqlquery);
        $ret = false;
        $linkid = $this->db->connect();
            foreach($sqlquery as $sql) {
                $sql = trim($sql);
                if(!empty($sql)) {
                        $ret = mysql_query($sql);
                    }
             }
        return $ret;
    }

没有过滤 逐行执行

但是没有上传功能呀 怎么办呢

在前台头像上传的地方

    function upload(){
        
        @header("Expires: 0");
        @header("Cache-Control: private, post-check=0, pre-check=0, max-age=0", FALSE);
        @header("Pragma: no-cache");
        $pic_id = time();//使用时间来模拟图片的ID.           
        $pic_path = $this->getSavePath().'/original.jpg';
        $pic_abs_path = __UPLOAD__.'/avatar'.convertUidToPath($this->uid).'/original.jpg';
        //保存上传图片.
        if(empty($_FILES['Filedata'])) {
            $return['message'] = L('photo_upload_failed');
            $return['code']    = '0';
        }else{
        
            $file = @$_FILES['Filedata']['tmp_name'];
            //die($pic_path);
            file_exists($pic_path) && @unlink($pic_path);
            if(@copy($_FILES['Filedata']['tmp_name'], $pic_path) || @move_uploaded_file($_FILES['Filedata']['tmp_name'], $pic_path)) 
            {
                @unlink($_FILES['Filedata']['tmp_name']);
                /*list($width, $height, $type, $attr) = getimagesize($pic_path);
                if($width < 10 || $height < 10 || $width > 3000 || $height > 3000 || $type == 4) {
                    @unlink($pic_path);
                    return -2;
                }*/
                include( SITE_PATH.'/addons/libs/Image.class.php' );
                Image::thumb( $pic_path, $pic_path , '' , 300 , 300 );
                list($sr_w, $sr_h, $sr_type, $sr_attr) = @getimagesize($pic_path);
                
                $return['data']['picurl'] = 'data/uploads/avatar'.convertUidToPath($this->uid).'/original.jpg';
                $return['data']['picwidth'] = $sr_w;
                $return['data']['picheight'] = $sr_h;
                $return['code']    = '1';
            } else {
                @unlink($_FILES['Filedata']['tmp_name']);
                $return['message'] = L('photo_upload_failed');
                $return['code']    = '0';
            }
            
        }
        return json_encode( $return );
    }

大体意思就是没检测文件内容 也不管后缀是什么 读取出文件内容  统一写入一个固定的文件

我们在这里写入要执行的sql语句这里我想到的利用方法

1.留xss后门

执行一个update或者insert语句  在用户管理的表中  后台查看用户就会触发xss 这里绕过了前台的过滤持续控制后台

2.因为并没有回显

 可以执行update 或者insert语句 在插入文章的

INSERT INTO `ts_ad` (`title`,`place`,`is_active`,`content`,`is_closable`,`mtime`,`ctime`) VALUES ('31',0,'0',user(),0,1502120589,1502120589)

进一步获取服务器敏感信息

3 如果有root权限可以写shell

4有时间可以尝试下时间盲注

 

同时删除的地方可以进行任意文件删除

转载于:https://www.cnblogs.com/test404/p/7302516.html

weixin_30629977
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ThinkSNS_V4 后台任意文件下载导致Getshell.pdf
04-22
### ThinkSNS_V4 后台任意文件下载导致Getshell.pdf #### 一、前言与背景 ThinkSNS是一款全面覆盖多种平台的社交系统,适用于国内外大小企业及创业者的社会化软件开发和技术解决方案。该系统提供了两个主要版本:...
【西湖论剑】phpok6.0前台反序列化getshell
weixin_45751765的博客
03-21 5934
1NDEX0x00 前言0x01 brain.md捋一下框架poc浅析动调一下poc(小bug 0x00 前言 西湖线下的phpok6.0 后面才知道是个0day 已知poc形式 admin.php 控制器为login 方法为update 其余参数: fid=…/index fcode=shell quickcode=……… 看页面回显似反序列化漏洞,可写入webshell 参考suanve师傅的文章做个复现 phpok6.0前台反序列化getshell 师傅的这篇和主办方的利用点有点小区别 一个是利用 $
实战 | 登录处前台绕过getshell
最新发布
2301_80115097的博客
03-15 868
即可,这个语句正常执行,说明存在任意文件上传漏洞。csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题。A0,导出文件,打开,成功执行命令。5.测试了一圈发现导出功能,导出来看来一下,发现是”定制管理”中的内容,这不就是刚刚在ctf中刷过的题吗,csv注入。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
[代码审计]某开源商城前台getshell
weixin_30826095的博客
02-05 266
0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来。 下面就分享一下自己审这套系统的整个过程。 0x01 系统简介 略 0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护代码 对get,post,cookie都进行了过滤,但有一点挺有趣的。 在p=ad...
【代码审计】后台Getshell的两种常规姿势
04-15 1738
0x00 前言 在早些年刚接触web安全的时候,基础套路都是找注入--找后台--找上传点--找数据库备份--Getshell,然而在代码审计的角度,也存在类似的基本操作。 这里结合代码实例介绍白盒Getshell的两种常规姿势:写入配置文件Getshell、模块安装Getshell。 0x01 环境搭建 Doccms官网:http://www.doccms.com程序源码:D...
cms前台getshell分析
IT-Andy
12-18 1311
前言 毫无套路的在cnvd上看见了一个漏洞,毫无套路的想着分析一下 一脸懵逼的Getshell 官网地址:http://www.earcms.net/ 先到官网把源码下载下来搭建一下,结果发现源码是混淆过的 这种混淆方式很常见,解密也不难,因为已经知道是前台文件上传导致的getshell,所以暂时不需要全部解密出来一点点分析,暂时只关注他的上传点。 毫无套路的搭建完成后我们看到...
【实战篇】第19篇:ThinkSNS_V4 后台任意文件下载导致Getshell1
08-03
这篇文章是关于ThinkSNS V4版本的一个安全漏洞的实战分析,该漏洞允许攻击者通过任意文件下载来实现Getshell,即获取服务器的控制权。ThinkSNS是一款流行的社交网络平台,用于为企业和个人提供社交软件解决方案。在...
thinksns.zip_thinksns_thinksns+源码_thinksns源码
09-20
这个标题“thinksns.zip_thinksns_thinksns+源码_thinksns源码”暗示了我们正在讨论的是ThinkSNS的源代码压缩包,包含完整的项目文件,可用于开发和定制。 1. **ThinkSNS系统概述**:ThinkSNS是一个基于PHP语言和...
lhhxs#poc#彩虹外链网盘 v4.0 重装getshell1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
wei php getshell,海洋cms最新版前台getshell(附靶机)
weixin_30587041的博客
04-06 512
cms版本:6.45官网好像是6.48版本了直接上代码[mw_shl_code=applescript,true]function parseIf($content){if (strpos($content,'{if:')=== false){return $content;}else{$labelRule = buildregx("{if.*?)}(.*?){end if}","is");$la...
php strlen漏洞,CmsEasy前台无限制GetShell
weixin_42196750的博客
03-27 2902
来源:阿里先知(安全情报)简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情修改的文件不多,通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*function c...
thinksns V3(开源微博系统) getshell 漏洞附利用方法
收集盒 Book box
05-16 1357
wooyun test的重测试是这程序 结果我申请没让我进 听朋友说是这个 我就大概看了下 就发现个getshell 反正众测那么多黑客 肯定到时候有人挖出来 还不如放出来 attachaction.class.php   public function capture(){ error_reporting(0);
$ac $f php 代码审计,代码审计之ThinkSNS v4.6.0最新版前台getshell
weixin_39637260的博客
03-31 188
前言对于一个后台的至getshell的漏洞点,若需要当作前台来利用,最直接的idea会想到什么?当然是XSS、CSRF了,这已经不是什么新鲜话题或trick了,较早的wordpress 前台XSS之Getshell、最近安全客也有人发过zzzphp1.6前台的Getshell方式使用类似的方法。所以笔者对ThinkSNS审计的后台漏洞分析及其利用同样结合CSRF进行。漏洞类型通用漏洞简介后台升级存...
ThinkPHP5 rce漏洞重现及分析 2018年
whatday的专栏
07-19 2192
一、概述 近日,thinkphp发布了安全更新,修复一个可getshell的rce漏洞,由于没有有效过滤$controller,导致攻击者可以利用命名空间的方式调用任意类的方法,进而getshell。 二、影响范围 5.x < 5.1.31 5.x < 5.0.23 以及基于ThinkPHP5 二次开发的cms,如AdminLTE后台管理系统、thinkcmf、ThinkSNS等 shadon一下: 三、漏洞重现 win7+thinkphp5.1.24 (1)执行.
linux 系统留后门方法+日志清除
收集盒 Book box
11-28 1644
1. setuid  #cp /bin/sh /tmp/.sh  #chmod u+s /tmp/.sh  加上 suid 位到shell上,虽然很简单,但容易被发现  2. echo "hack::0:0::/:/bin/csh" >> /etc/passwd  即给系统增加一个 id 为 0(root)的帐号,无口令。  但管理员很快就可以发现哦!  3.echo "
防止asp马后门
没有绝对的安全
03-07 728
防止别人在asp马留后门
ThinkSNS 2.5开发指南:全面解析二次扩展与架构
ThinkSNS 2.5是一个功能丰富的二次开发手册,由智士软件(北京)有限公司出品,专为ThinkSNS 2.0的高级用户和开发者设计。该手册详细介绍了如何充分利用ThinkSNS平台进行深度定制和扩展,旨在帮助用户更好地理解和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值