很早以前的一个洞,看到很有意思就拿来看看

这是雨曾经审过的一个洞,因为读取方式很特别复现了一下

upload\plus\weixin.php

public function responseMsg()

    {

		if(!$this->checkSignature())

		{

        	exit();

        }

		$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

		if (!empty($postStr))

		{

              	$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

                $fromUsername = $postObj->FromUserName;

                $toUsername = $postObj->ToUserName;

                $keyword = trim($postObj->Content);

				$keyword = iconv("utf-8","gb2312",$keyword);

                $time = time();

				$event = trim($postObj->Event);

				if ($event === "subscribe")

				{

					$word= "�ظ�j���ؽ����Ƹ���ظ�n����������Ƹ�������Գ�������ְλ�����硰��ơ���ϵͳ���᷵����Ҫ�ҵ���Ϣ������Ŭ�����������Ի��ķ���ƽ̨��лл��ע��";

					$text="<xml>

					<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

					<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

					<CreateTime>".$time."</CreateTime>

					<MsgType><![CDATA[text]]></MsgType>

					<Content><![CDATA[".$word."]]></Content>

					</xml> ";

					exit($text);

				}

               	if (!empty($keyword))

				{

					if($_CFG['sina_apiopen']=='0')

					{

							$word="��վ΢�Žӿ��Ѿ��ر�";

							$text="<xml>

							<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

							<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

							<CreateTime>".$time."</CreateTime>

							<MsgType><![CDATA[text]]></MsgType>

							<Content><![CDATA[".$word."]]></Content>

							</xml> ";

							exit($text);

					}

										$limit=" LIMIT 6";

										$orderbysql=" ORDER BY refreshtime DESC";

										if($keyword=="n")

										{

											$jobstable=table('jobs_search_rtime');

										}

										else if($keyword=="j")

										{

											$jobstable=table('jobs_search_rtime');

											$wheresql=" where `emergency`=1 ";

										}

										else

										{

										$jobstable=table('jobs_search_key');

										$wheresql.=" where likekey LIKE '%{$keyword}%' ";

										}

										$word='';

										$list = $id = array();

										$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);

										while($row = $this->fetch_array($idresult))

										{

										$id[]=$row['id'];

										}

										if (!empty($id))

										{

										$wheresql=" WHERE id IN (".implode(',',$id).") ";

										$result = $this->query("SELECT * FROM ".table('jobs').$wheresql.$orderbysql);

											while($row = $this->fetch_array($result))

											{

											//$row['jobs_url']=url_rewrite('QS_jobsshow',array('id'=>$row['id']));

											$row['addtime']=date("Y-m-d",$row['addtime']);

											$row['deadline']=date("Y-m-d",$row['deadline']);

											$row['refreshtime']=date("Y-m-d",$row['refreshtime']);

											$word.="{$row['companyname']}\n��Ƹְλ��{$row['jobs_name']}\nн�������{$row['wage_cn']}\n��Ƹ������{$row['amount']}\n�������ڣ�{$row['addtime']}\n��ֹ���ڣ�{$row['deadline']} \n--------------------------\n";

											}

										}

										if(empty($word))

										{

											$word="û���ҵ������ؼ��� {$keyword} ����Ϣ�����������ؼ���";

											$text="<xml>

											<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

											<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

											<CreateTime>".$time."</CreateTime>

											<MsgType><![CDATA[text]]></MsgType>

											<Content><![CDATA[".$word."]]></Content>

											</xml> ";

											exit($text);

										}

										else

										{

												$word=rtrim($word,'/\n');

												$word=rtrim($word,'-');

												$text="<xml>

												<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

												<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

												<CreateTime>".$time."</CreateTime>

												<MsgType><![CDATA[text]]></MsgType>

												<Content><![CDATA[".$word."]]></Content>

												</xml> ";

												exit($text);

										}

				}

				else

				{

				exit("");

				}

    	}

	}

首先看到一个sql语句
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
倒回去跟进几个变量

$orderbysql=" ORDER BY refreshtime DESC"
$limit=" LIMIT 6";
且当$keyword!=n/j时
$wheresql.=" where likekey LIKE '%{$keyword}%' ";

接着看$keyword
$keyword = trim($postObj->Content);
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

重点来了$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个东西其实基本上等于$_POST
唯一一点区别就是前者能接受不是php能识别的东西。

$postStr就是直接post过来的数据,没有经过任何处理,而且$GLOBALS["HTTP_RAW_POST_DATA"]这样传入进来的数据
可以无视gpc。
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);当然这里的$postStr应该是传入
xml然后经过simpxml_load_string解析。然后把xml解析过后的直接传入Content这就可以导致任意文件读出。

接着再看看条件

if(!$this->checkSignature())

		{

        	exit();

        }

跟进这个函数看看
在131到150行

private function checkSignature()

	{

        $signature = $_GET["signature"];

        $timestamp = $_GET["timestamp"];

        $nonce = $_GET["nonce"];

		$token = TOKEN;

		$tmpArr = array($token, $timestamp, $nonce);

		sort($tmpArr);

		$tmpStr = implode( $tmpArr );

		$tmpStr = sha1( $tmpStr );

		if($tmpStr == $signature )

		{

			return true;

		}

		else

		{

			return false;

		}

	}

}

所以在默认条件下,没有wx_token时,这个$tmpStr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,这是一个固定的值了,我们是完全可以利用上面的漏洞读入任意文件。

构造pyload

<?xml version="1.0" encoding="utf-8"?>

    <! DOCTYPE ANY [

    <!ENTITY % test SYSTEM "file:///c:/windows/win.ini">

    ]>

post传入这个可以读取

74cms漏洞分析的更多相关文章

  1. Zabbix 漏洞分析

    之前看到Zabbix 出现SQL注入漏洞,自己来尝试分析. PS:我没找到3.0.3版本的 Zabbix ,暂用的是zabbix 2.2.0版本,如果有问题,请大牛指点. 0x00 Zabbix简介 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. CVE-2016-0143 漏洞分析(2016.4)

    CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击 ...

  4. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  5. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  6. CVE-2014-4115漏洞分析(2014.11)

    CVE-2014-4115漏洞分析 一.简介 该漏洞是由于Windows的Fastfat.sys组件在处理FAT32格式的硬盘分区存在问题.攻击者利用成功可导致权限提升. 影响的系统包括: Windo ...

  7. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  8. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  9. Oracle漏洞分析(tns_auth_sesskey)

    p216 Oracle漏洞分析: 开启oracle: C:\oracle\product\\db_1\BIN\sqlplus.exe /nolog conn sys/mima1234 as sysdb ...

随机推荐

  1. 利用Python+阿里云实现DDNS(动态域名解析)

    引子我想大家应该都很熟悉DNS了,这回在DNS前面加了一个D又变成了什么呢?这个D就是Dynamic(动态),也就是说,按照传统,一个域名所对应的IP地址应该是定死的,而使用了DDNS后,域名所对应的 ...

  2. HP SiteScope安装

    下载地址以及安装方法见 http://www.jianshu.com/p/fce30e333578 数据库连接URL:jdbc:mysql://mysql_ip:mysql_port/database ...

  3. jdk、tomcat如何配置环境变量

    一.安装JDK和Tomcat 1,安装JDK:直接运行jdk-7-windows-i586.exe可执行程序,默认安装即可. 备注:路径可以其他盘符,不建议路径包含中文名及特殊符号. 2.安装Tomc ...

  4. WaitHandle.WaitAll 方法在WPF工程中的应用

    因为WaiAll需要多线程支持, 而WPF是STA模式, 可以通过以下方式实现WaitAll ManualResetEvent[] events:  foreach (ManualResetEvent ...

  5. WPF 后台触发 Validate UI‘s Element

    wpf中有validateRule类, 用于界面元素的验证, 如何后台去控制validateRule呢? 1. UI层要binding写好的ValidateRule,分为Binding和MultiBi ...

  6. vmware 虚拟网卡配置

    VMware虚拟机进阶:[1]网卡配置 1. 可以在下面这个图中看到几种网络设置模式,一直以来我们都喜欢用桥接模式和NAT模式,因为这两种模式是最符合一般人上网设置的模式,下面我们就一种种介绍个大家 ...

  7. java 通过System.getProperties()获取系统参数

    转自:https://www.cnblogs.com/ksuifeng/archive/2010/09/25/1834416.html 1.java的System.getProperty()方法可以获 ...

  8. [poj3071]football概率dp

    题意:n支队伍两两进行比赛,求最有可能获得冠军的队伍. 解题关键:概率dp,转移方程:$dp[i][j] +  = dp[i][j]*dp[i][k]*p[j][k]$表示第$i$回合$j$获胜的概率 ...

  9. 反射获取窗体所有控件的Text

    可以直接通过反射获取当前窗体的所有控件的Text(具有Text属性),具体代码如下: foreach (var field in form.GetType().GetFields(System.Ref ...

  10. 【转】eclipse修改workspace

    [转]eclipse修改workspace 以下方法选其中一种 1.进入 Window > Preferences > General > Startup and Shutdown ...