前言
昨天爆出了宝塔的未授权访问phpmyadmin漏洞,然后随后撸了一个站,脱下了源码,今日审计一波,来分享一下,水一篇文章
首先看看网站啥样子吧
哇! 流口水辽
环境搭建
phpstudy+Vs code +burp
把程序放在wwwroot下,导入一下数据库
然后捏,修改一下数据库配置文件
E:/phpStudy/PHPTutorial/WWW/bc/include/PxfaizySql.php
好滴,简单搭建结束,还不会搭建的建议去百度学习一下,因为我就是为了凑个字数~
代码审计
首先看到网站程序架构(adminer.php是我自己传的)
好的,没啥东西,告辞,开审
前台sql注入
看到rule.html ,发现给ajax.php 发起了一个请求
跟踪过去发现直接将id给传到了execute_query方法,没有任何过滤,好滴,喜提一枚sql注入,
验证:
正常请求 :
发送payload 延时:
反射xss
还是同一个文件,在第七十行,可以看到参数用引号闭合了,不存在sqli,但是直接拼接到html页面,造成了xss
payload:
ajax.php?action=form&act_id=81">弹窗代码
任意文件上传
文件位置:E:/phpStudy/PHPTutorial/WWW/bc/manager/manage_do.php
代码:
这段代码就是获取上传的文件传入upload_file方法,跟踪这个方法,来到了
E:/phpStudy/PHPTutorial/WWW/bc/include/common.fun.php
代码:
可以看到这个函数的代码,并没有对上传的文件进行任何的限制,直接就可以上传任意文件,那么构造poc
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>任意文件上传</title>
</head>
<body>
<form action="http://www.bc.com/manager/manage_do.php?do_post=upload_image" method="post" enctype="multipart/form-data">
文件:<input type="file" name="image_file" value="123"><br>
<input type="submit" name="mufile">
</form>
</body>
</html>测试上传成功
居然这么久没更新了 哎。。。
师傅分享一下源码吗
居然更新喽:))
tql,可以要份源码吗
请问下这个是如何通过phpmyadmin 获得webshell 脱下源码的?