php search file content 漏洞,Web漏洞分析之——顺瓜摸藤

最新推荐文章于 2023-12-19 10:29:28 发布
最新推荐文章于 2023-12-19 10:29:28 发布
阅读量235 收藏
点赞数
文章标签: php search file content 漏洞

阅读:

1,358

在分析一些漏洞时,能从相关的漏洞预警和描述中获取的情报往往很少。

很多时候,只能通过漏洞描述或者补丁中找到漏洞触发点,然而如何利用,如何找到从入口贯通到漏洞触发点的利用链,这时候就需要我们顺瓜摸藤了。

有时候,顺着一个瓜(漏洞触发点),还能摸到很多条藤(利用链)。

前言

近日在PacketStorm看到一个关于国产cms的cve

https://packetstormsecurity.com/files/151824/ZZZPHP-CMS-1.6.1-Remote-Code-Execution.html

cve编号:

CVE-2019-9041

cve描述

d0ee05fec88fde5ab07364b0d3161501.png

再看看packetstormsecurity上关于exploit的介绍

ab6266d1415c6b1ba90e9f625e0b1d42.png

根据描述,猜测该漏洞应为SSTI类

如果有升级补丁参照看一下,这个漏洞就很明朗了。

然而官网上最新版本只是2019-1-28更新的1.6.1,而1.6.1版本,正是存在漏洞的版本。

之前完全没有听说过这个cms,这个漏洞又有cve。

因此拿着个来举个例子,看看怎么顺瓜摸藤。

分析

从漏洞发现者所提供的exploit来看,这个漏洞的触发应该是需要后台权限。漏洞触发点位于inc/zzz_template.php中的parserIfLabel方法中,并且需要修改search模板并通过搜索功能执行该利用点。

首先先看下inc/zzz_template.php中的parserIfLabel方法

a0c0363003086aaf3e6636d707a3d99d.png

可以看到有一处eval方法,这个应该是最终代码执行触发的地方。

既然触发点已经找到了,那继续往上跟,找到可用的调用链

parserIfLabel方法只在两处被调用

dd0af61bf7bf3f386053e8c3f77d312d.png

先看位于第2238行的第二处调用

ef0eb519b6579cd03f6b96440a1b5cc7.png

这处在parserIfLabel方法自身内部,递归调用来解析嵌套。此处虽然调用了parserIfLabel方法,但是并不处于parserIfLabel方法的调用链的上层,因此排除。

再看第一处:位于23行这处

affe1628a42d019a3f6d22ab7f065978.png

parserCommom方法调用parserIfLabel方法并将$zcontent传入其中。

再看看parserCommom方法在何处被调用

跟入zzz_client.php中

zzz_client.php中一共四处调用了parserCommom方法,每一处都将名为$zcontent的参数传入其中。

这四处parserCommom分别位于四个ifelse条件中。

3d93e90caca9dc4baedd343207c9e568.png

先一处处来看,首先选个短的看起来容易触发的条件分支先来。

先看第二处,这里elseif中的条件最短,为 $conf[‘iscache’]==1

3b09bfb478a62ae1eb0af140cf5533f3.png

只要$conf[‘iscache’]==1,就可以顺利的进入这个条件分支,parserCommom就能有机会被调用

查看配置文件,此处默认为0

fcda4cb53c9d85193955e60f59668561.png

但是由于漏洞介绍,这是个后台漏洞,那默认我们可以有后台的操作权限

于是我在后台管理那把缓存开启了

55112355f2b50a05ffc3efe9b1cef27d.png

现在zzz_config.php中

553e0f24f73db224908954e0b241bb8a.png

可见iscache现在为1了。

现在的思路:

1、$conf[‘iscache’] 目前已经是1,稳稳的进入这个elseif分支

2、由于此处执行点位于zzz_client.php中,而zzz_client.php文件中没有定义任何函数,代码逐行执行,一马平川。

3、只有找到zzz_client.php被加载的地方,才能进入该elseif分支执行我们的parserCommom

4、找到控制传入parserCommom方法中$zcontent值的方法,将构造好的$zcontent传入我们的eval中执行。

首先要找zzz_client.php被加载的地方

b26fd4ec35a81cfa95c71a1c17bf632d.png

看起来这四处都可以加载zzz_client.php

我们首先选主入口index.php

不出意外,直接执行到断点处

此时传入load_file方法中$tplfile值为

C:/wamp64/www/analysis/zzzphp/template/pc/cn2016/html/index.html

加载的是index.html模板

036b5f0903f2eea17b942ae4c320f069.png

也就是说,我们只要在index.html中加入payload,就可以触发底层的eval执行任意代码。

找到后台编辑模板处

2fbdd8504d9c15bf5057cbc9ccfa289f.png

编辑index.html,插入payload

0e34013171bf710978a71b404b3c8fa3.png

成功执行

55f2951e410e644be2577ca5ccfa4aa5.png

337830a2e8c2c2d620819854841a5143.png

但是需要注意的是 如下图

5fbd3ba4d96dca09de0148d0e842850f.png

当cachefile在第一次执行create_file后,就会被成功创建

0c7d2621c26791b0a17e4f2d5e087601.png

下一次再进入elseif($conf[‘iscache’]==1)分支后,

由于

661eb2a909d08807c0062d638cd8c1dc.png

这个if条件不满足

不会再次调用$parser->parserCommom($zcontent)的。

总结来说,此处可以远程代码执行,但是当cachefile被创建后,此处调用链失效。

到此为止,我们找到了一处不同于原作者的利用链。但仅仅zzz_client中就有四个分支调用了存在漏洞的函数。

也就是说,同一个漏洞触发点所生产的利用链远远不止两处,有兴趣的朋友也可以自己试试。

总结

在分析一个漏洞时,当找到存在漏洞的部位时,不妨仔细的检查下这个存在漏洞的方法在何处被调用,为什么被调用,实现了什么功能。不拘泥于漏洞作者给出的poc,也许可以找到其他的利用链进行利用。

weixin_39900180
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python查找文件内容_python实现搜索文本文件内容脚本
weixin_39626237的博客
11-28 444
本文介绍用python实现的搜索本地文本文件内容的小程序。从而学习Python I/O方面的知识。代码如下:import os#根据文件扩展名判断文件类型def endWith(s,*endstring):array = map(s.endswith,endstring)if True in array:return Trueelse:return False#将全部已搜索到的关键字列表中的内容保...
fileContent.rar
09-20
根据已知根目录,获取目录下的所有文件及文件里面所包含的中文内容。
Search File Contents PHP 搜索目录文本内容的代码
12-17
这个类可以用来搜索在给定的文本目录中的文件。 它可以给定目录遍历递归查找某些文件扩展名的文件。 并打开找到的文件,并检查他们是否包含搜索词语。 它返回一个含有所有文件的列表包含搜索词语数组。 复制代码 代码如下: <?php /* Class for searching the contents of all the files in a directory and its subdirectories For support please visit http://www.webdigity.com/ */ class searchFileContents{ var $dir_name =
关于在PHP5.6版本以上用get_file_content函数抓取远程内容的问题
程序之家的专栏
03-14 1433
最近,因为Web应用程序迁移到云服务器上,发生了一个致命问题。原有服务器的PHP环境为5.5,云服务的PHP环境为5.6。当时,抓取远程内容的函数用的是:get_file_content(),迁移之后,发现PDF文件打不开,经过调试,原来PHP5.5时,抓取URL远程内容时,不会自动gzip压缩内容,而PHP5.6时,抓取URL远程内容时,会自动gzip压缩,恰恰 get_file_content...
代码审计之scms——search.php注入漏洞
weixin_40709439的博客
01-18 2482
电脑没网络,只能在本地审计之前审计过的cms,这次审计scms 还是法师审计工具自动审计一波,发现可能存在漏洞的文件,发现fearch.php可能存在sql注入。 &amp;lt;?php require 'conn/conn.php'; require 'conn/function.php'; $action=$_GET[&quot;action&quot;]; $keyword=$_REQUEST[&quot;keyword&quot;]...
你不知道的文件上传漏洞php代码分析
12-18
漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir...
通达OA v2017 video_file.php 任意文件下载漏洞.md
09-07
通达OA漏洞合集
PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
10-17
主要给大家介绍了关于PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
101web漏洞挖掘之任意文件读取漏洞1
08-03
1. **白盒挖掘**:通过代码审计,查找涉及文件操作的关键字,如`download`、`filename`、`file`、`name`、`dir`等,分析处理函数是否进行了有效的过滤和限制。 2. **payload构造**:使用如`../../../../../../`等...
php 搜索 txt下载,Search File Contents PHP 搜索目录文本内容的代码
weixin_35715235的博客
03-09 162
这个类可以用来搜索在给定的文本目录中的文件。它可以给定目录遍历递归查找某些文件扩展名的文件。并打开找到的文件,并检查他们是否包含搜索词语。它返回一个含有所有文件的列表包含搜索词语数组。/*Class for searching the contents of all the files in a directory and its subdirectoriesFor support please ...
get file content
zqhphoenix的专栏
07-22 1044
private String getFileContent(String url) {  byte[] responseBody = null;  try {   HttpClient client = new HttpClient();   if (PropertyReader.getInstance().getPxy_usage().trim().equals(     "true")) { 
File content 比较
06-13 213
一. 使用Apache commonshttp://commons.apache.org/io/apidocs/org/apache/commons/io/FileUtils.html (contentEquals)  二. 使用如下代码:  /**     * Returns the boolean that if the contents of streams are eq
FileUpload.FileContent 属性(转)
xiuping05214的专栏
11-17 2017
"C#" %> "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> "server"> protected void UploadButton_Click(object sender, EventArgs e) {
[CISCN]2020
qq_45691294的博客
10-21 693
[CISCN2020]-easyphp <?php //题目环境:php:7.4.8-apache $pid = pcntl_fork(); if ($pid == -1) { die('could not fork'); }else if ($pid){ $r=pcntl_wait($status); if(!pcntl_wifexited($status)){ phpinfo();
应用安全-CMF/CMS漏洞整理
weixin_30341735的博客
07-08 236
ZZZCMS CVE-2019-9041 DisCuz ML v3.x cookie注入-远程代码执行 yUrO_2132_saltkey=S6RnGn2l; yUrO_3132_language=en'.1.'; Drupal cve-2014-3704 Drupal 7.31 SQL注入 cve-2018-7600 RCE 转载于:https://www...
代码审计-4 代码执行漏洞
xhscxj的博客
12-06 294
此处如果能控制就可以进行闭合,执行恶意代码 将传入的参数进行正则匹配,当匹配通过时继续往下走 下面并没有对恶意代码内容进行过滤 跟踪查看它的参数是在哪里传入的 此处将传入的参数作为参数,来调用 继续跟踪查看它的参数是在哪里传入的 此处的参数值是通过的结果进行赋值的 继续跟踪 此函数的功能就是载入对应路径的文件,并返回文件内容 也就是载入此处传入的中的路径的文件,并返回文件内容 继续找变量的值是从哪里赋来的 的值是通过一个语句根据变量的值进行判断匹配然后赋值的,为绝对路径 变量的值又是通过返回的 跟踪,此函数
Android中URI的转换关于filecontent相互转换工具类
zhengxtDgxs的博客
02-09 6863
调用时:File imageFile = getFileByUri(Uri); 工具类: public File getFileByUri(Uri uri) { String path = null; if ("file".equals(uri.getScheme())) { path = uri.getEncodedPa
springMVC的url-pattern
另一个世界
08-22 1512
web.xml中 &lt;servlet&gt; &lt;servlet-name&gt;springmvc&lt;/servlet-name&gt; &lt;servlet-class&gt;org.springframework.web.servlet.DispatcherServlet&lt;/servlet-class&gt; &lt;...
Android Uri scheme协议filecontent
最新发布
12-19 2333
在处理这些资源时,我们可能会遇到不同的Uri协议,如filecontent。本文将详细介绍如何从file协议的Uri转换到content协议的Uri,并解释这个转换过程中的关键步骤和注意事项。首先,我们需要了解filecontent两种协议的基本概念。file协议的Uri通常以"file://"开头,用于标识本地文件系统上的文件路径。而content协议的Uri则以"content://"开头,用于访问通过内容提供者(Content Provider)暴露的数据。一、了解filecontent协议。
FCKeditor文件上传漏洞及利用-File-Upload-Vulnerability-in-FCKEditor1
08-03
"FCKeditor文件上传漏洞及利用-File-Upload-Vulnerability-in-FCKEditor1" FCKeditor(现称为CKeditor)是CKSource公司的一款开源的所见即所得(WYSIWYG)文本编辑器,可以集成到网络应用中,为用户提供类似文字...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值