用户
搜索
  • TA的每日心情
    难过
    2020-4-24 08:26
  • 签到天数: 3 天

    连续签到: 2 天

    [LV.2]偶尔看看

    i春秋-脚本小子

    Rank: 2

    5

    主题

    50

    帖子

    101

    魔法币
    收听
    0
    粉丝
    1
    注册时间
    2019-10-2
    发表于 2020-7-24 21:13:52 144255
    本帖最后由 A1key1ng 于 2020-7-24 21:15 编辑

    本文原创作者 A1key1ng,本文非i春秋平台首发,未经许可禁止转载!

    0x00前言

    无聊没事逛了一下某娱乐网网

    看到标题写着被倒卖的很严重

    心里想这么严重安全应该做的不错吧

    就想操作他一波 在建站圈子很多人用

    了解了一下 是一种授权站

    就类似白名单这种东西 挺多人用的

    Uv7A8s.png

    下载了源代码

    刚学审计那就来尝试一下吧

    0x01 sql注入

    UvTlct.png

    发现这里是get传输url

    然后判断是否授权成功

    猜测将url参数带入数据库查询

    跟踪一下checkauth2这个函数是怎么定义的

    发现这里url直接拼接到sql语句

    那就再看看get_row的用法吧

    UvLx76.png

    发现url参数并没有被过滤

    漏洞复现:拿出大宝贝Sqlmap 跑他

    已经成功跑出库名

    0x02 远程代码执行 前台getshell

    Downloand.php文件

    UvOP9e.png

    可以看到第4行调用了authcode这个函数

    然后explode函数以/t进行分割

    分别赋值到下面这3个数组内

    跟踪一下authcode

    UvOEnI.png

    百度了一下发现是一个很经典的加密函数

    那就看看下面如何走下去吧

    UvOZHP.png

    然后第29行 str_replace这个函数将加密后的1000000001换成arr【2】的内容(为了一个卡密真的用心良苦啊 哈哈哈)

    然后写入inc文件里 并且命名为authcode.php

    所以只需要想办法把arr【2】的值替换成phpinfo或者一句话就能成功getshell

    '';phpinfo();

    猜测这样写入即可成功

    然后用authcode加密一下

    8f933zBHV2I3uKlCMBNIKp+ojBSnoV8EyrtCp5b/gAE+280uiq+/hQKl7GAniL9VryX64HzgJgZWiNxJsi+R1dxqyMW3Tv2LIJYGUYKDC0sjm8pqUifJh5A

    因为这里base64 decode()这个函数

    所以我也给paylond反向加密一下

    OGY5MzN6QkhWMkkzdUtsQ01CTklLcCtvakJTbm9WOEV5cnRDcDViL2dBRSsyODB1aXErL2hRS2w3R0FuaUw5VnJ5WDY0SHpnSmdaV2lOeEpzaStSMWR4cXlNVzNUdjJMSUpZR1VZS0RDMHNqbThwcVVpZkpoNUE=

    漏洞复现

    由于是get传输 直接将paylond拼接到url就行

    UvOU4U.png

    发现成功写入 \download\update6000\inc

    UvOJH0.png

    最后成功执行

    UvLJYD.png

    这个源码令我气愤的是后台没有任何上传点 我也是醉了 本还想做做文章可惜了 前后台也是一堆注入由于有先例重复了就不写入本文了



    师傅很强啊,过程写的不错~
    使用道具 举报 回复
    学习下大佬的姿势
    使用道具 举报 回复
    清风烈酒11 发表于 2020-7-25 13:31
    师傅很强啊,过程写的不错~

    说笑了表哥
    使用道具 举报 回复
    发表于 2020-7-25 20:19:50

    说笑了说笑了
    使用道具 举报 回复
    说实话 写这种自己思路审计的比千篇一律的好很多诶
    使用道具 举报 回复
    如果是一些通用的cms是不是更好?
    使用道具 举报 回复
    发表于 2020-7-27 10:03:38
    鱼儿慢慢飞 发表于 2020-7-26 10:09
    如果是一些通用的cms是不是更好?

    不敢放
    使用道具 举报 回复
    发表于 2020-7-27 10:03:47
    鱼儿慢慢飞 发表于 2020-7-26 10:09
    如果是一些通用的cms是不是更好?

    感谢感谢

    使用道具 举报 回复
    发表于 2020-7-28 16:19:00
    围观学习下,写的不错~
    使用道具 举报 回复
    为啥不在i春秋首发呢表哥?让村长给你稿费
    使用道具 举报 回复
    确实很强!
    使用道具 举报 回复
    dongde 发表于 2020-7-29 11:03
    为啥不在i春秋首发呢表哥?让村长给你稿费

    投稿有稿费哇
    使用道具 举报 回复
    dongde 发表于 2020-7-29 11:03
    为啥不在i春秋首发呢表哥?让村长给你稿费

    哈哈 在朋友公众号发布了
    使用道具 举报 回复
    何涛 发表于 2020-7-28 16:19
    围观学习下,写的不错~

    谢谢 哈哈哈
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册