php聪聪lode,Phpyun设计缺陷致任意文件删除可致重装getshell或注入

最新推荐文章于 2021-04-08 05:35:37 发布
最新推荐文章于 2021-04-08 05:35:37 发布
阅读量116 收藏
点赞数
文章标签: php聪聪lode

设计缺陷可致任意文件删除 删除lock可直接进行重装直接达到getshell。 或者删除某文件也可以来注入了。 也可导致破坏sql语句。 依旧官网下的最新版。 在model/ajax.class.php中 function delupload_action(){if(!$this-uid !$this-username $_COOKIE[usertyp

设计缺陷可致任意文件删除 删除lock可直接进行重装直接达到getshell。

或者删除某文件也可以来注入了。

也可导致破坏sql语句。

依旧官网下的最新版。

在model/ajax.class.php中

function delupload_action(){

if(!$this->uid && !$this->username && $_COOKIE["usertype"]!=2){

echo 0;die;

}else{

$dir=$_POST[str][0];

$isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'");

if($isuser['uid']==$this->uid)

{

echo @unlink(".".$dir);

}else{

echo 0;die;

}

}

}

0x01 破坏语句执行

$dir=$_POST[str][0];

$isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'");

这里可以看到$dir 如果这时候我们提交的是一个字符串的话 [0] 就成了截取字符的了。

截取的是第一个字符。 因为phpyun全局会对'转义变成\' (单引号会被实体化)

截取第一个字符的话 就是一个\了。

659ed713cb4a43e000b34730b116eb1e.gif

成功引入了转义符。 如果有两个参数可控的话可以 '\',uesr()#' 类似这样的注入

可是这里只有一个参数 所以能引入转义符的话 也无法注入 只能破坏下语句。

_________________________________________________________________________

0x02 任意文件删除 删lock 可致Getshell

首先来看他这里的判断

$dir=$_POST[str][0];

$isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'");

if($isuser['uid']==$this->uid)

{

echo @unlink(".".$dir);

}else{

echo 0;die;

}

}

这个判断的意思大概是 $isuser['uid']==$this->uid 这个发布的人必须是你

然后才能进行删除操作。

但是在这里 如果DB_select_once("company_show","`picurl`='$dir'");这个查询出来的是空 然后$this->uid也是空的话 那么就通过了这个判断。

if(!$this->uid && !$this->username && $_COOKIE["usertype"]!=2){

echo 0;die;

在这里 由于用的是&& 所以只有不满足这三个才会退出

在这里我们不登录会员 然后前面那两个都为true了。

但是$_COOKIE["usertype"]!=2 如果这个为false的话 就不会执行die了。

而且COOKIE刚好也是用户可控的。

来测试一下。

50a20c8d78e62b3d84b290a73579e18b.gif

aa5b4f459e94163a953c3aed3e3461ee.gif

可以看到COOKIE usertype为2的时候就不会退出了。

这时候由于我们并没有登录 所以$this->uid 为空(0)

如果这时候$isuser = $this->obj->DB_select_once("company_show","`picurl`='$dir'");

$dir 并不存在于这个表中的话(我们要删除的文件自然是不会在这个表中的)

那么$isuser['uid'] 也为空。(NULL)

if($isuser['uid']==$this->uid)

{

echo @unlink(".".$dir);

这时候就通过了这个判断 可以执行unlink了。

然后$dir也可控。

那不就可以删除任意文件了?

这里我们来删除data/phpyun.lock 达到重装

因为他这之前unlink(".".$dir) 定义了一个. 所以直接加个/就行了

删除的是根目录的构造一下目录。

19d9ea0794a17017e8837f9ae5da6b04.gif

返回了1 成功删除了。

这里删除了lock就可以进行重装了。

f220242ba082a2c311847d694cc6d584.gif

这里不会被转义。

a2c66880411a51471928904b201a8da1.gif

访问首页就成功执行代码了。

_________________________________________________________________________

0x03 如果不想重装别人系统 但是要注入呢?

在member/model/com.class.php中

function product_action()

{

$this->public_action();

$delid=$_GET['delid'];

if($delid){

if(is_array($delid)){

$ids=$this->pylode(',',$delid);

$layer_type=1;

}else{

$ids=$delid;

$layer_type=0;

}

$row=$this->obj->DB_select_all("company_product","`id` in (".$ids.") and `uid`='".$this->uid."'","`pic`");

$delid=$_GET['delid']; 如果不是数组的话就没过滤 直接带入到了查询当中。

而且没单引号

这里直接删除data/db.safety.php 和 include\webscan360\360safe\360webscan.php

就能注入了。

e8dd9dd0bc34ee3919c87bf1ae310f55.gif

09213f7c05ad1d061f489e08077870e3.gif

两个都是返回的1 说明成功删除了、

就能来注入了。

7f78450c7c6fa52bb69f17e7f26d7e0d.gif

ok 因为删除了拦截文件 所以无拦截。

修复方案:

修改一下逻辑。

把&&改成|| 咋样? 只是个建议 没多思考。 还是你们自己想想。

兔乱扔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
lmxcms漏洞记录
weixin_49064458的博客
11-15 237
梦想CMS版本:1.41版提示:以下是本篇文章正文内容,下面案例仅供参考。
php云系统清除版权,PHP云人才系统 PHPYun任意文件删除
weixin_42298128的博客
03-18 225
PHP云人才系统 PHPYunPHP100旗下产品。下载源码:http://www.phpyun.com/phpyun_2.4_GBK_Beta.zip 2.4版本的先看根目录下index.php文件:include(dirname(__FILE__)."/global.php");********省略***********$act = $_GET['act'];$task = $_GET['...
PHPYUNv4.5二次开发
方小块的博客
06-01 2247
后台添加菜单  数据库表admin_navigation添加菜单和么
[漏洞分析]phpyun系统重装安全隐患#影响从phpyun4.2部分,4.3到4.5全版本
weixin_30455067的博客
03-09 140
0x00 之前在t00ls上看到的,漏洞原理很简单,但是都是细节问题,很值得去学习。 感谢bypass师傅。 也发了邮件给官方,但没有任何回复,估计是漏洞作者bypass师傅报备了吧。 0x01 经测试该漏洞影响从4.3到 4.5 所有版本,4.2部分版本受影响,4.2最终版本不受影响。具体情况请自行测试。 0x02 漏洞原理: 看到install 文件夹里的...
loderunner-in-a-box:在现代浏览器或移动屏幕上播放MS-DOS Lode Runner
03-20
Lode Runner(一体式) 现代的浏览器或移动屏幕播放MS-DOS洛德亚军 使用以下命令 行动 钥匙 按键Alt 手势 向上 键盘8 向上箭头 平移 下 键盘2 向下箭头 平移 剩下 键盘4 向左箭头 向左平移 正确的 键盘6 向右箭头 向...
FXML lode无法找到fxml文件1
08-08
1.不同包2.同包3.且若变更mian位置则从目录右击启动,直接从这个鬼地方启动报错,估计是这个栏没更新main之类的目前就碰到这3个问题。
pyLODE:一个基于LODE的使用Python和模板的OWL本体文档工具
02-04
**pyLODE** 是一个基于 **LODE (Linked Open Data Enhanced)** 的工具,它利用了 **Python** 和 **模板引擎**(如 **Jinja2**)来生成关于 **OWL (Web Ontology Language)** 本体的高质量文档。这个工具旨在为开发...
PHP程序设计习题答案.pdf
10-14
PHP 程序设计习题答案.pdf 本资源是 PHP 程序设计习题答案集锦,涵盖了 PHP 语言的基础知识、基本语法、函数、数组、字符串、服务器端编程等方面的习题和答案。该资源对 PHP 语言的理解和应用具有重要的参考价值。 ...
brainloller-php:从brainloller-image获取brainfuck-code
06-17
Brainloller 是由 Lode Vandevenne 在 2005 年设计的 Brainfuck 克隆。命令是从 .png 图像的像素中读取的,有 2 个额外的命令。 额外的命令会更改指令指针方向,以便您可以将 1D Brainfuck 代码压缩为 2D 图像。 ...
PHP代码审计之重装漏洞-Day2
ro4lsc的博客
03-10 7809
重装漏洞的种类 常见的重装漏洞的种类 1、自动删除这个安装软件 通过生成一个lock文件来判断程序是否安装过 2、根本无验证 安装完成后不会自动删除文件,也不会生成lock判断是否安装过 3、安装file 直接用GET提交step绕过,直接进入下一步 4、变量覆盖导致重装 可以GET,POST,COOKIE任意提交一个变量名$insLockfile,从而让file_exists为fa...
dedecms5.7/install/index.php.bak getshell方法(亲测成功)
风炫 致力于顶级网络安全专家
01-30 7586
我是从安全参考上看到这一篇文章,作者:yaseng 。 但是我自己亲自测试了一下,果然存在这个漏洞。 给大家讲下, 原文: Dedecms对于安装程序的处理方法就是重命名install.php+lock文件验证,改install.php  位install.php.bak但是在apache 对这类型文件会解析成php,即可以执行之,对于lock  文件验证,不是还有dedecms的全局
getshell.php,PHPYUN设计缺陷导致轻易Getshell
weixin_29144259的博客
04-08 219
### 简要描述:PHPYUN设计缺陷导致轻易Getshell### 详细说明:#1 设计缺陷phpyun集成了部分ucenter功能,引入了UC_KEY,且默认设置为"phpyun123456"```define("UC_KEY","phpyun123456");```你们难道不知道UC_KEY这个值的威力的多大?好吧 我就当你们不知道,详情请见```[WooYun: Discuz的利用UC_K...
PHPYUN任意文件上传导致GETSHELL
_404root的博客
02-28 1839
简要描述: 简单到你难以想象,只要网站还可以注册就可以GETSHELL,无视GPC,无视WAF。4.1beta版本,其他版本未测 详细说明: 1.在审计PHPYUN的时候一度对PHPYUN的WAF非常无语,但是在大家都痴迷于寻找SQL注入漏洞的时候,确实忽略了一个很简单的上传漏洞。首先定位到漏洞文件wap/member/model/index.class.php function photo_ac...
phpweb后台拿shell方法
番薯道长的博客
11-19 7971
首先登录后台admin.php(默认后台admin.php) 有的phpweb网站存在万能密码登录 帐号密码都输入:admin 'or '1'='1直接登录 登录后台管理系统后,然后把下面的文件保存为xxx.html,修改action,把www.xxx.com 改成你的目标网站地址。  然后选择你的马儿再上传 上传后如果为iis6,就点击查
网站后台getshell的方法总结
anlalu233的博客
03-24 4828
方法一:直接上传getshell 以dedecms为例,后台可以直接上传脚本文件,从而getshell,具体方法如下: 即可成功上传大马,并成功执行,从而拿下webshell。 坑:通常由于权限限制,导致只有该目录权限,无法进入其他目录,此时便可以采用…/跳转到根目录,或者其他目录,此时所采用的方法是如下的文件改名 方法二:数据库备份getshell 以南方数据cms为例: 1,首先上传一张...
php任意文件删除漏洞,phpshe后台任意文件删除漏洞及getshell | CN-SEC 中文网
weixin_36152359的博客
04-02 259
摘要phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,htmlspecialchars过滤),虽然用的是全局变量注册,但是进行了变量的划分。phpshe程序简介phpshe是一个开源商城程序,程序在前台入库的地方都用了pe_dbhold函数(mysql_real_escape_string,htmlspecialch...
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
最新发布
07-13
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
空间问题的随机有限元法及程序设计优秀文档.ppt
12-01
空间问题的随机有限元法及程序设计是一项重要的研究领域,涉及到结构力学和计算力学等多个学科。通过随机有限元法,我们可以对空间结构的强度和稳定性进行可靠的评估,并设计出优秀的程序来解决这些问题。 在第9章...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值