0x01 前言
多米cms的源码可能部分会有所加密,我直接取巧拿了其他版本的做了测试,当然可以去看看网上有大佬的解密方法。当然本文用到的源码没有任何加密。
0x02 思路
使用变量覆盖漏洞,赋予管理员session,登录后台,getshell
0x03 实战
1、审计
我们可以利用的点就出现在common.php,在这里说明一下:一般文件名为function或者common等关键词的文件通常为我们经常要调用的文件,所以在代码审计的时候也注意一下这类文件。
//检查和注册外部提交的变量
foreach($_REQUEST as $_k=>$_v)
{
if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )
{
exit('Request var not allow!');
}
}
这段代码的意思就是将$_REQUEST获取到的值进行键值分离,举个例子就是:你传了8=phpinfo()
其中的$_k就是8,$_v就是phpinfo(),当然这是个循环往复的过程,传入多个参数,就循环执行上面的操作。
接下来进入if的判断语句当中,strlen()看字面意思应该能够看的出来,是判断字符串长度,m_eregi()应该是个自定义函数(这里不确定的话可以去百度上面搜索一下,搜索不到一般就是自定义函数),定位函数后我们可以发现来到了common.fun.php,其函数如下