前言:这篇文章:该 CMS 版本是 4.2 。以下漏洞均被 CNVD 收录 。
环境说明:php版本用 7.0.9 就好了 。
文章插图
SSRF:根据功能点定向审计 , 在后台的工具栏有一个采集功能 , 根据经验这种功能一般存在 SSRF 。
文章插图
文章插图
【一>所有资源关注我 , 私信回复"资料"获取<一】使用 Python3 在本地开启简易的 http 服务 。
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
文章插图
点击下一步 , 果不其然存在 SSRF 。
文章插图
进行漏洞分析 。
根据 burpsuite 抓到的请求包很容易定位到代码位置 。
文章插图
在文件
upload/plugins/sys/admin/Collect.php#Collect->add , POST 的参数cjurl 未做安全处理被传入到 $this->caiji->str 方法 。
文章插图
那么我们跟进到 $this->caiji->str 方法 , 但是 phpstorm 找不到定义该方法的位置 。
文章插图
解决办法 , 我们可以连续按两下 Shift 键直接寻找 。
文章插图
跟进到 str 方法后 , 发现 url 参数被传入 htmlall 方法 , 继续跟进该方法 。
文章插图
可以看到 htmlall 方法使用了 curl 请求 url 。
文章插图
基本上有调用 $this->caiji->str 方法的地方都存在 SSRF 漏洞 。
文章插图
文件覆盖导致 GETSHELL:通过敏感函数回溯参数过程的方式找到该漏洞 。
在
upload/cscms/App/helpers/common_helper.php#write_file 使用了文件写入的敏感函数 , 跟 SSRF 的 htmlall 是同一个文件 。
文章插图
使用 Ctrl+Shift+F 查找哪些位置调用了 write_file , 在
upload/plugins/sys/admin/Plugins.php#Plugins->_route_file 调用了 write_file函数 , 并且 note[
推荐阅读
- 2022年顶级网络安全专家最爱的5大数据加密方法
- 这次终于彻底理解了 LightGBM 原理及代码
- 网络安全中端口扫描的一些方案介绍
- 一篇关于低代码平台的非完整推荐
- 10分钟搭建局域网共享,安全如此简单
- 设计模式--简单工厂模式代码详解
- 十个古老而又强大的正则表达式,能让你少写1000行JS代码
- 内网安全-记一次内网靶机渗透
- HTML网站右键禁用F12代码 屏蔽审查元素 防止修改页面代码
- php大文件切片上传