查看: 53741|回复: 39

phpshe后台任意文件删除(后台无限制拿shell)

[复制链接]
  • TA的每日心情

    2024-12-14 22:22
  • 签到天数: 1631 天

    [LV.Master]伴坛终老

    发表于 2015-12-28 20:53:31 | 显示全部楼层 |阅读模式
    90sec@Joseph

    [PHP] 纯文本查看 复制代码
    case 'del':
            pe_token_match();
            $tpl_name = pe_dbhold($_g_tpl);
            if ($tpl_name == 'default') pe_error('默认模板不能删除...');
            if ($db->pe_num('setting', array('setting_key'=>'web_tpl', 'setting_value'=>$tpl_name))) {
                    pe_error('模板正在使用中...');
            }
            else {
                    pe_dirdel("{$pe['path_root']}template/{$tpl_name}");
                    pe_success('模板删除成功!');
            }
    break;


    首先一个token防止csrf然后一个定义tpl_name的名字最后载入自定义的一个过滤函数
    [PHP] 纯文本查看 复制代码
    function pe_dbhold($str, $exc=array())
    {
            if (is_array($str)) {
                    foreach($str as $k => $v) {
                            $str[$k] = in_array($k, $exc) ? pe_dbhold($v, 'all') : pe_dbhold($v);
                    }
            }
            else {
                    $str = $exc == 'all' ? mysql_real_escape_string($str) : mysql_real_escape_string(htmlspecialchars($str));
            }
            return $str;
    }


    看的出来是针对sql过滤的并未针对像跳目录等进行过滤或者处理,然后返回又进入了一个自定义的删除函数
    [PHP] 纯文本查看 复制代码
    function pe_dirdel($dir_path)
    {
            if (is_file($dir_path)) {
                    unlink($dir_path);
            }
            else {
                    $dir_arr = glob(trim($dir_path).'/*');
                    if (is_array($dir_arr)) {
                            foreach ($dir_arr as $k => $v) {
                                    pe_dirdel($v, $type);
                            }        
                    }
                    @rmdir($dir_path);
            }
    }


    懂php代码的都看的出来就是一个判断路径存在和文件夹或者文件存在的一个简单函数对我们的利用没有任何危害
    demo测试
    QQ20151228164526.png

    新建了一个90.txt
    QQ20151228164658.png

    直接跳目录后面跟文件名
    QQ20151228164745.png

    看的出来直接删除

    第一个拿shell 自然就是咱们说的删除instak.ock 重装,不过太过于危险。我这里有官网权限 我这里直接给大家一个方法

    游客,如果您要查看本帖隐藏内容请回复


    QQ20151228164926.png

    密码:loveme

    一切都源自于看着收费的源码又不想花钱

    官网漏洞我已经补,希望大家别去危害。

    另外还有二次注入的利用点。这里就不多说了

    评分

    参与人数 1i币 +3 收起 理由
    echotxl + 3 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    擦汗
    2017-6-6 13:33
  • 签到天数: 53 天

    [LV.5]常住居民I

    发表于 2015-12-28 21:03:55 | 显示全部楼层
    好久不来看看了,,嗯
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-2-13 01:04
  • 签到天数: 306 天

    [LV.8]以坛为家I

    发表于 2015-12-28 23:21:26 | 显示全部楼层
    最新的吗
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-8-27 02:10
  • 签到天数: 50 天

    [LV.5]常住居民I

    发表于 2015-12-29 02:20:10 | 显示全部楼层
    学习一下0.0
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-3-10 19:06
  • 签到天数: 163 天

    [LV.7]常住居民III

    发表于 2015-12-29 08:33:17 | 显示全部楼层
    看看
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2016-11-3 09:21
  • 签到天数: 82 天

    [LV.6]常住居民II

    发表于 2015-12-29 09:31:28 | 显示全部楼层
    这个吊炸天。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2019-12-19 16:52
  • 签到天数: 157 天

    [LV.7]常住居民III

    发表于 2015-12-29 09:45:11 | 显示全部楼层
    下载源码本地测试下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    郁闷
    2019-12-19 16:52
  • 签到天数: 157 天

    [LV.7]常住居民III

    发表于 2015-12-29 10:12:11 | 显示全部楼层
    原来要登录阿.
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-2-24 16:15
  • 签到天数: 11 天

    [LV.3]偶尔看看II

    发表于 2015-12-29 12:40:36 | 显示全部楼层
    来学习下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2021-8-25 08:29
  • 签到天数: 109 天

    [LV.6]常住居民II

    发表于 2015-12-29 13:59:56 | 显示全部楼层
    楼主自己能看懂吗

    点评

    你太小看90了吧, 我都能看懂他能看不懂?  详情 回复 发表于 2015-12-29 17:44
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 02:35 , Processed in 0.025754 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部