12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看

漏洞文件再根目录thumb.php中

 <?php

 /*

  * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r"

  * thumb.php?url=/thinksns/data/userface/000/00/00/41_middle_face.jpg?1247718988&w=20&h=20

 */

 error_reporting(0);

 set_time_limit(30);

 $biggest_memory_limit    =    256; //单位M,后缀不要加M

 //全局定义文件

 //require 'define.inc.php';

 //临时目录

 $tempDir    =    "./data/thumb_temp/";

 checkDir($tempDir);

 //分析URL

 $url    =    urldecode($_GET['url']);

 //XSS脚本攻击探测

 //include THINK_PATH.'/Vendor/xss.php';

 //DetectXSS($url);

 //2009-10-7 修改 将本地图片修改成相对地址,避免file_get_contents不能读取远程文件时出错(可修改php.ini  设置 allow_fopen_url 为 true)

 //$url =  str_ireplace(SITE_URL,'.',$url);

 if(file_exists($url)){

     $url    =    $url;

 }elseif($result    =    GrabImage($url,$tempDir)){

     $url    =    $result;

     $grab_temp_file    =    $result;

 }else{

     $url    =    "./public/images/nopic.jpg";

 }

 //解析参数

 $w = $_GET['w']?$_GET['w']:'100';    //宽度

 $h = $_GET['h']?$_GET['h']:'100';    //高度

 $t = $_GET['t']?$_GET['t']:'c';        //是否切割

 $r = $_GET['r']?'1':'0';            //是否覆盖

 //目录名hash

 $fileHash    =    md5($url.$w.$h);

 $hashPath    =    substr($fileHash,0,2).'/'.substr($fileHash,2,2).'/';

 //缩图目录

 $thumbDir    =    "./data/thumb/".$hashPath;

 checkDir($thumbDir);

 $tempFile    =    $tempDir.$fileHash.'.'.$sourceInfo['type'];

 $thumbFile    =    $thumbDir.$fileHash."_".$w."_".$h."_".$t.'.'.$sourceInfo['type'];

 $img        =    new Image();

 //判断是否替换,存在则跳转,不存在继续进行

 if(!$r && file_exists($thumbFile)){

     //这里有2种方法,第一种多一次跳转,多一个http连接数,第二种,要进行一次php处理,多占用一部分内存。

     //header('location:'.$thumbFile);

     $img->showImg($thumbFile);

 }

 //不存在输出

 if(copy($url,$tempFile)){

     //判断图片大小 如果图片宽和高都小于要缩放的比例 直接输出

     $info    =    getimagesize($tempFile);

     //判断处理图片大约需要的内存

     $need_memory    =    (($info[0]*$info[1])/100000);

     $memory_limit    =    ini_get('memory_limit');

     if( ($need_memory > $memory_limit) && ($need_memory <= $biggest_memory_limit) ){

         ini_set('memory_limit',$need_memory.'M');

     }

     if($info[0]<=$w && $info[1]<=$h){

         copy($tempFile,$thumbFile);

         $img->showImg($thumbFile,'',$info[0],$info[1]);

         unlink($tempFile);

         unlink($grab_temp_file);

         exit;

     }

     else{

         //生成缩图

         if($t=='c'){

             $thumb    =    $img->cutThumb($tempFile,$thumbFile,$w,$h);

         }elseif($t=='f'){

             $thumb    =    $img->thumb($tempFile,'',$thumbFile,$w,$h);

         }

         //输出缩图

         $img->showImg($thumb,'',$w,$h);

         unlink($tempFile);

         unlink($grab_temp_file);

         exit;

     }

 }

第17行获取了url参数

第28行进入了GrabImage函数

//获取远程图片

function GrabImage($url,$thumbDir) {

    if($url=="")    return false;

    $filename    =    md5($url).strrchr($url,".");

    $img        =    file_get_contents($url);

    if(!$img)        return false;

    $filepath    =    $thumbDir.$filename;

    $result        =    file_put_contents($filepath,$img);

    if($result){

        return $filepath;

    }else{

        return false;

    }

}

获取url参数的内容  并写入了filepath中截取了一下

./data/thumb_temp/7588534a6998ec36787cf997e688a8d6
第53行 重新构造文件名
$thumbFile    =    $thumbDir.$fileHash."_".$w."_".$h."_".$t.'.'.$sourceInfo['type'];

这里$t传入.php

第77行 完成了复制的操作

copy($tempFile,$thumbFile);

导致了getshell

在后台数据库导入的地方

     function import(){

         $filename = $_GET['filename'];

         $sqldump = '';

         $file = './data/database/'.$filename;

         //die($file);

         if(file_exists($file)){

             $fp = @fopen($file,'rb');

             $sqldump = fread($fp,filesize($file));

             fclose($fp);

         }

         $ret = D('Database')->import($sqldump);

         if($ret) {

             $this->success('导入成功');

         }else{

             $this->error('导入失败');

         }

     }

首先文件名没有进行过滤  可以遍历读取到东西之后进入了另外一个import函数

跟进一下

    public function import($sqldump){

        $sqlquery = $this->splitsql($sqldump);

        var_dump($sqlquery);

        $ret = false;

        $linkid = $this->db->connect();

            foreach($sqlquery as $sql) {

                $sql = trim($sql);

                if(!empty($sql)) {

                        $ret = mysql_query($sql);

                    }

             }

        return $ret;

    }

没有过滤 逐行执行

但是没有上传功能呀 怎么办呢

在前台头像上传的地方

    function upload(){

        @header("Expires: 0");

        @header("Cache-Control: private, post-check=0, pre-check=0, max-age=0", FALSE);

        @header("Pragma: no-cache");

        $pic_id = time();//使用时间来模拟图片的ID.

        $pic_path = $this->getSavePath().'/original.jpg';

        $pic_abs_path = __UPLOAD__.'/avatar'.convertUidToPath($this->uid).'/original.jpg';

        //保存上传图片.

        if(empty($_FILES['Filedata'])) {

            $return['message'] = L('photo_upload_failed');

            $return['code']    = '0';

        }else{

            $file = @$_FILES['Filedata']['tmp_name'];

            //die($pic_path);

            file_exists($pic_path) && @unlink($pic_path);

            if(@copy($_FILES['Filedata']['tmp_name'], $pic_path) || @move_uploaded_file($_FILES['Filedata']['tmp_name'], $pic_path))

            {

                @unlink($_FILES['Filedata']['tmp_name']);

                /*list($width, $height, $type, $attr) = getimagesize($pic_path);

                if($width < 10 || $height < 10 || $width > 3000 || $height > 3000 || $type == 4) {

                    @unlink($pic_path);

                    return -2;

                }*/

                include( SITE_PATH.'/addons/libs/Image.class.php' );

                Image::thumb( $pic_path, $pic_path , '' , 300 , 300 );

                list($sr_w, $sr_h, $sr_type, $sr_attr) = @getimagesize($pic_path);

                $return['data']['picurl'] = 'data/uploads/avatar'.convertUidToPath($this->uid).'/original.jpg';

                $return['data']['picwidth'] = $sr_w;

                $return['data']['picheight'] = $sr_h;

                $return['code']    = '1';

            } else {

                @unlink($_FILES['Filedata']['tmp_name']);

                $return['message'] = L('photo_upload_failed');

                $return['code']    = '0';

            }

        }

        return json_encode( $return );

    }

大体意思就是没检测文件内容 也不管后缀是什么 读取出文件内容  统一写入一个固定的文件

我们在这里写入要执行的sql语句这里我想到的利用方法

1.留xss后门

执行一个update或者insert语句  在用户管理的表中  后台查看用户就会触发xss 这里绕过了前台的过滤持续控制后台

2.因为并没有回显

 可以执行update 或者insert语句 在插入文章的

INSERT INTO `ts_ad` (`title`,`place`,`is_active`,`content`,`is_closable`,`mtime`,`ctime`) VALUES ('31',0,'0',user(),0,1502120589,1502120589)

进一步获取服务器敏感信息

3 如果有root权限可以写shell

4有时间可以尝试下时间盲注

同时删除的地方可以进行任意文件删除

ThinkSNS2.5前台getshell+后台任意文件删除的更多相关文章

  1. PHP:网展cms后台任意文件删除和sql注入

    0x01:目录结构 可以发现Frameword是框架的文件 install安装 public公共文件 uploads储存上传之类的文件 webuser后台文件 Home前台文件 0x02.csrf漏洞 ...

  2. Discuz!X V3.4后台任意文件删除

    Discuz!X V3.4后台任意文件删除 简述 该漏洞为后台任意文件删除,需要有管理员的权限,所以说危害非常小 复现环境 docker.vulhub-master 项目地址:https://gite ...

  3. 【代码审计】iZhanCMS_v2.1 后台任意文件删除漏洞分析

      0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms ...

  4. 【代码审计】CLTPHP_v5.5.3后台任意文件删除漏洞分析

      0x00 环境准备 CLTPHP官网:http://www.cltphp.com 网站源码版本:CLTPHP内容管理系统5.5.3版本 程序源码下载:https://gitee.com/chich ...

  5. ZZCMS v8.2 前台Insert注入+任意文件删除

    前几天看了水泡泡老哥的zzcms的审计,在论坛上一搜发现这个cms有不少洞.听说很适合小白练手,所以来瞅一瞅.不知道我发现的这个洞是不是已经被爆过了,如果雷同,纯属巧合. 一.Insert注入,直接返 ...

  6. HDWIKI6.0后台任意文件删除/下载

  7. [代码审计]phpshe开源商城后台两处任意文件删除至getshell

    0x00 背景 这套系统审了很久了,审计的版本是1.6,前台审不出个所以然来.前台的限制做的很死. 入库的数据都是经过mysql_real_escape_string,htmlspecialchars ...

  8. [代码审计]云优cms V 1.1.2前台多处sql注入,任意文件删除修复绕过至getshell

    0X00 总体简介 云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐,上线短短3个月,下载次 ...

  9. Discuz!X 3.4 前台任意文件删除漏洞复现

    Discuz!X 3.4 前台任意文件删除漏洞复现 参考链接: http://www.freebuf.com/vuls/149904.html http://www.freebuf.com/artic ...

随机推荐

  1. MT【264】分式变形

    已知$x,y>0,\dfrac{1}{x}+\dfrac{2}{y}=1$,求$\dfrac{1}{x+1}+\dfrac{2}{y+1}$的最大值____ 解答:令$a=\dfrac{1}{x ...

  2. 「HDU - 2857」Mirror and Light(点关于直线的对称点)

    题目链接 Mirror and Light 题意 一条直线代表镜子,一个入射光线上的点,一个反射光线上的点,求反射点.(都在一个二维平面内) 题解 找出入射光线关于镜子直线的对称点,然后和反射光线连边 ...

  3. 「HNOI2016」最小公倍数

    链接 loj 一道阔爱的分块 题意 边权是二元组(A, B),每次询问u, v, a, b,求u到v是否存在一条简单路径,使得各边权上\(A_{max} = a, B_{max} = b\) 分析 对 ...

  4. mysql 提示表损坏处理方法

     公司网站有些页面打不开,第二次出现这个情况 重启数据库,提示有一个表crashed:这是第二次出现这个问题,这个时候,进入数据库文件目录输入:myisamchk -r "Table_Nam ...

  5. nagios 监控内存使用情况

    监控本机内存cd /usr/lib64/nagios/pluginstouch check_mem.sh #!/bin/bash " ]; then memTotal_b=`free -b ...

  6. nfs的配置文件/etc/exports

    /etc/exports  文件格式 <输出目录> [客户端1 选项(访问权限,用户映射,其他)] [客户端2 选项(访问权限,用户映射,其他)] a. 输出目录:输出目录是指NFS系统中 ...

  7. css图片替换文字

    含义: 图像替代,就是像我们在平时将文本添加到文本中,然后通过css隐藏文本在它的位置上显示一个背景图片,这样,搜索引擎仍然可以搜到HTML文本,即使我们禁用css后,文本时仍然是可以显示的. 引用& ...

  8. 【转】top命令输出解释以及load average 详解及排查思路

    https://blog.csdn.net/zhangchenglikecc/article/details/52103737 昨天nagios报警warning,没来得及留下报警截图,nagios值 ...

  9. [BJWC2018]Border 的四种求法(后缀自动机+链分治+线段树合并)

    题目描述 给一个小写字母字符串 S ,q 次询问每次给出 l,r ,求 s[l..r] 的 Border . Border: 对于给定的串 s ,最大的 i 使得 s[1..i] = s[|s|-i+ ...

  10. List双向链表容器

    list 容器实现了双向链表的数据结构,数据元素是通过链表指针串连成逻辑意义上的线 性表,这样,对链表的任一位置的元素进行插入.删除和查找都是极快速的. 图 2-7 是 list 采用的双向循环链表的 ...