### 简要描述:
@/fd牛在drops丢了一篇关于上传问题的文章,http://drops.wooyun.org/tips/2031
关于这篇文章的一些细节在@/fd牛发表之前刚好跟@Mramydnei M哥聊过一些
M哥表示wb已经足够ipad了所以就把这个机会让给了我,我就献丑找个通用型的cms来一发
ps:这个问题的根源出在上传逻辑上,所以类型选了文件上传
ps:感谢@Mramydnei
### 详细说明:
这个问题对没有检查上传文件头,没有写好crossdomain.xml的站点来说危害很大
待会儿再发一个没处理好crossdomain.xml导致问题的样例
时间关系没有挖后台getshell的地方 所以就用csrf添加管理员来演示
phpyun上传功能(只拿个人中心-》照片管理功能上传测试)未检测上传文件的实际文件格式,只对后缀做了检查。可以上传一个.jpg后缀的swf文件。
通过swf中的as来执行post get等操作,相当于一个本域的存储型XSS了。
具体操作如下
### 漏洞证明:
1、先抓取phpyun后台添加管理员的包,提取参数和地址。然后新建一个flash文件,添加post的as脚本,参数可写死也可后期用flashvar在调用的时候写,我这里写死在as里了。如图
[<img src="https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg" alt="13.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg)
2、编译成swf然后改后缀为.jpg,然后通过个人中心的上传形象照功能上传到服务器
[<img src="https://images.seebug.org/upload/201405/221411306fbbc7d286e967d7577f6e36ae9c9d68.jpg" alt="14.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221411306fbbc7d286e967d7577f6e36ae9c9d68.jpg)
3、在别的地方(任何域哦,只要你可控)构造一个页面,插入刚才上传的jpg(实际为swf)的地址 allowscriptaccess要为always。
[<img src="https://images.seebug.org/upload/201405/221416163f148ce4f01acf6ac0f19a37344f4fa3.jpg" alt="15.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221416163f148ce4f01acf6ac0f19a37344f4fa3.jpg)
4、引诱管理员(看你本事了)访问刚才那个页面,后台就多了一个超管 test:test123
[<img src="https://images.seebug.org/upload/201405/22141812b40a9c5c96706e361f7f8bfdfee6f671.jpg" alt="16.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/22141812b40a9c5c96706e361f7f8bfdfee6f671.jpg)
暂无评论