通过TleChat插件一键Getshell
TleChat网站插件是一个发布到wordpress,typecho和emlog社区上的站长聊天插件,站长聊天室插件为站长和用户提供聊天室功能,让站长与用户之间的联系更加友爱,支持文本、长文本、语音聊天、图片传输及站长之间的QQ、微信、支付宝打赏,共同建立一个友爱的联盟。
看了看 emlog
论坛上的状况,发现一名作者开发了一款站长聊天的插件,小东之前写过一款简单的聊天应用“Anychat
”,体验地址:http://chat.top15.cn ,感觉写着还是比较麻烦的,感觉插件不错,下载的人也那么多,也下载下来瞅瞅,学习。
一般来说,一个聊天程序,容易存在XS,SQL注入的漏洞,看了一遍源码,对于参数都使用了addslashes()
函数进行转义。
0x01 上传安装插件
发现还不错,界面设计,支持按住说话(上传声音文件吧),上传文件
既然支持上传文件,那么就很有可能存在“文件上传”相关的漏洞
0x02 挖掘漏洞
本地配置了Emlog
的环境,所以就下载了 emlog
版本的插件
下载地址: http://www.emlog.net/plugin/333
在content/plugins/TleChat/chat/upload.php
, 一看文件名就知道是上传文件的,打开瞅瞅
主要代码:
<?php
header("Content-type: text/html; charset=utf-8");
require_once '../../../../init.php';
date_default_timezone_set("Etc/GMT-8"); $action = isset($_POST['action']) ? addslashes(trim($_POST['action'])) : '';
var_dump($action);
if($action=="ip"){
echo client_ip(0,true);
}else if($action=="audio"){
$mp3Name = isset($_POST['mp3Name']) ? addslashes(trim($_POST['mp3Name'])) : '';
move_uploaded_file(@$_FILES['file']['tmp_name'], dirname(__FILE__)."/upload/audio/".$mp3Name);
echo BLOG_URL."content/plugins/TleChat/chat/upload/audio/".$mp3Name;
}
可以看到,虽然都做了addslashes()
函数的转义,但是文件操作使用了move_uploaded_file()
,重要的一点是
并没有判断文件后缀 !!!
所以,任意文件上传漏洞是存在的!
0x03 验证漏洞 + exploit
因为只是任意文件上传,所以简单写了一个利用网页(文末可下载),直接利用吧!
选择自己的 shell.php
小马文件,大马文件都可以,然后填写上传到存在漏洞服务器上的文件名,然后上传
返回如下结果:
string(5) "audio" http://www.test.com/content/plugins/TleChat/chat/upload/audio/dyboy.php
访问链接,OK,成功上传~
0x04 总结
作者的插件写的很棒,安全问题也不可小觑,产品上线之前,一定要安全测试!!!最近一直在忙学校学习,以及一些创新创业的比赛,也在忙一些开发项目,小程序定制开发可联系小东!QQ:1099718640
0x05 附件下载
插件+Exploit:https://www.lanzous.com/i3roowf
通过TleChat插件一键Getshell的更多相关文章
- 看我是如何利用升级系统一键GetShell
i春秋作家:小猪 原文来自:看我是如何利用升级系统一键GetShell 漏洞名称:看我是如何利用升级系统一键GetShell 程序下载地址:https://pan.baidu.com/s/1VdoPL ...
- PR全套插件一键安装
PR全套插件一键安装,无需注册码软件也是我在别的地方搬来的,自己用着很好,决定分享出来! 我的PR版本是2019,用着没有任何问题.我没有安装其他版本PR,所以无法测试,不过应该是可以用的. 使用截图 ...
- ckeditor自定义插件--一键给所有的图片添加链接
ckeditor自定义插件在网上查了查,感觉还是比较好用的,写了一个一键给编辑器中的所有图片添加链接. 在ckeditor目录下的plugins下建以插件为名的文件夹,在里边建plugin.js文件, ...
- phpcms9-6-0 一键getshell工具
介绍 一键化python 1.py http://xxx.com,如果是批量直接运行py文件即可 待办 [] 加入对有验证码phpcms网站的支持 [] 加入批量(已完成) 说明 依赖库的安装pip ...
- Firefox插件一键切换兼容IE
转载:http://mozilla.com.cn/thread-42137-1-1.html 让火狐兼容IE的双核扩展,一键切换至IE内核,网银支付无忧愁.支持Adblock plus和FireGes ...
- Chrome插件——一键保存网页为PDF1.0发布
最新版本:V1.1 下载地址:http://download.csdn.net/detail/bdstjk/5722317 发布时间:2013-7-8 版本号:1.1.7.80 更新内容: 1.增加检 ...
- IntelliJ IDEA使用技巧—使用EasyCode插件一键生成代码04期
在现如今的软件开发过程中,软件开发人员将很多的精力放在重复的编码中.特别是流行的MVC架构模式下,项目各个层次的功能更加独立,这也间接的造成了代码的相似度更高.因此需要寻找一种可以减少软件开发人员重复 ...
- 帝国cms插件 一键替换数据表中已发表文章的内容关键字
你是不是也在优化网站,是不是网站发展了一段时间之后才来做优化的,这样当然就会导致已经发表文章里的内容关键字,不能得到替换了! 小编根据后台替换内容关键字的程序,重写了一段 通过运行单个页面就能直接替换 ...
- 使用sublime一键格式化XML文件
1 sublime简介 sublime是一款代码编辑和阅读软件,体积小,运行快,界面非常简洁漂亮.官方地址:https://www.sublimetext.com/ 2 在sublime上安装插件 使 ...
随机推荐
- WindowsForm ComboBoxList 下拉框带复选框 可以动态添加
先来张效果图: 1.这里需要对控件进行重写,详细内容如下,对此不感兴趣的可以直接跳过这步,下载本人生成的dll,直接看第二小结,下载链接https://pan.baidu.com/s/1gfzrK5t ...
- 吴裕雄--天生自然TensorFlow2教程:合并与分割
import tensorflow as tf # 6个班级的学生分数情况 a = tf.ones([4, 35, 8]) b = tf.ones([2, 35, 8]) c = tf.concat( ...
- spring boot 环境配置(profile)切换
Spring Boot 集成教程 Spring Boot 介绍 Spring Boot 开发环境搭建(Eclipse) Spring Boot Hello World (restful接口)例子 sp ...
- Android进阶——Crash异常捕获并发送到服务器
在项目中,我们常常会遇到Crash的现象,也就是程序崩溃的时候,这个时候最常看到的就是这个界面 如果你的项目已经发布到市场上了,这样的崩溃对于开发人员是看不到的,所以我们得想方法将崩溃信息发送到服务器 ...
- redis(七)---- SpringBoot和redis整合
SpringBoot和Redis整合非常简单 添加pom依赖 <dependency> <groupId>org.springframework.boot</groupI ...
- POJ 1547:Clay Bully
Clay Bully Time Limit: 1000MS Memory Limit: 10000K Total Submissions: 8349 Accepted: 4711 Descri ...
- MySQL读写分离如何实现?
主要说下读写分离, 当我们的数据量很大时,数据库服务器的压力变大,这时候我们需要从架构方面来解决这一问题,在一个网站中读的操作很多,写的操作很少,这时候我们需要配置读写分离,把读操作和写操作分离出来, ...
- ArrayList 和 LinkedList 比较
是否保证线程安全? ArrayList 和 LinkedList 都是不同步的,也就是不保证线程安全. 底层数据结构区别? Arraylist 底层使用的是Object数组:LinkedList 底层 ...
- elastic启动脚本
#!bin/bash export JAVA_HOME=/usr/java/jdk1.8.0_144 export JRE_HOME=${JAVA_HOME}/jre export CLASSPATH ...
- java后台开发细节记录
1. ResultMap是程序员控制SQL查询结果和实体类的映射关系,而不是sql语句中字段的重命名,所以在sql语句中还是要按照原来字段的格式进行书写.