本文仅限技术研究与讨论,仅用于信息防御技术,严禁用于非法用途,否则产生的一切后果自行承担!
0X01 复盘
初衷:本想数据库进去写个shell,结果绕了一大圈,这下给折腾的!
1》一开始是这样的一个文档下载链接
2》爆路径
3》尝试把file参数的地址改成/index.php,结果成功的下载了首页文件
代码就不解释了,应该都能看懂
当时的第一想法就是找数据库配置信息,直接数据库写shell,结果数据库不能外部连接,郁闷……
4》接着通过 index.php 注释信息去Baidu、Google各种姿势找源码,搜了半天没搜到,然后在index.php文件
找了一段代码去github搜索。
Bingo! 皇天不负有心人啊,结果神奇的找到了相关源码。
Github项目地址:https://github.com/qianlimajiang/jinmaiquan/tree/master/ddd
随后下载源码审计一波,因为想审计个能直接getshell的,结果看了一圈代码又回到首页文件,因为php版本<5.3.4且magic_quotes_gpc为OFF的时候是可以利用%00截断的,刚好目标站点符合这个要求,这样就可以 http://localhost/index.php?a=../xxx.php%00 来一波任意文件包含。
5》既然可以任意文件文件包含,接下使劲就想办法是找上传点了!
源码里有一个kindeditor编辑器,可以通过upload_json.php这个文件构造外部上传图片
6》构造上传点
7》图片上传成功
8》包含图片00截断getshell
http://localhost/index.php?a=../uploadfile/image/20190410/20190410211839_24249.jpg%00
来源:freebuf.com 2020-07-04 13:40:59 by: 星空111
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册