2.4.1 渗透测试本地文件包含漏洞之疑问解说) (java咸鱼Al0ne转型安全的渗透之路) 渗透之路第二章(易酷CMS-安徽锋刃科技
[0x00]前言
emmm,想必这个漏洞想必大家都知道,可能你们都已经玩烂了。
网上也有大把的复现文章,但并没有说明细节,导致我这个新人感觉挺懵逼的。
对此我在复现过程中遇到的一些问题,张炘炀可能也有道友也遇到过,在此给大家分享一下寰宇大战略。
废话不多说,进入正题。
[0x01]靶机环境
winserver 2003 + phpstudy +易酷CMS 2.4.1 + mysql
[0x02]易酷CMS 2.4.1 本地文件包含漏洞正常复现
1.生成错误日志(一句话代码)
cms 会记录一个错误日志到 empLogs[年_月_日.log]ps: 18_08_13.log
2.查看日志
3.包含文件
漏洞位置:
coreLibActionHomeMyAction.class.php
4.上菜刀
虽然我不知道为啥目录要打马赛克,因为看别人都是打了码的。
[0x03]那么问题来了。
问题1:
--由于本人不懂 PHP 这门世界上最好的语言,导致对于一些问题很是懵逼,但简单的了解了一下之后……,回到漏洞位置。
--经过查阅得知 $this->display(), 是用来链接内容或取变量值,我的理解是:把某个路径下的文件内容给包含进来,他的当前路径是 WEB 根路径。
--由于一开始不懂这个参数到底是什么意思黑色切割者 ,经过一番代码的阅读和测试发现‘my_’. trim($id) == ‘my_.. empLogs18_08_13.log’,那么 my_这级目录不存在也没报错,对PHP的知识了解太少,但经过测试发现趣旅网 ,真的瞎几把写都可以,比如(blablaOjbk.. empLogs18_08_13.log) 这样也能正常包含,可能是PHP 的一个 BUG,也有可能是我理解错误2k14空接。
问题2:
--最开始环境是装在 Linux 上面的,最后包含本地文件死活不成功,突然想到,包含文件参数是传递的相对路径美辰香醒,Win 可以正常解析.. empLogs18_08_13.log路径,可是 Linux 不认识这个路径分隔符,则解析不了这个路径。
--使用 “/”作为参数(blablaOjbk/../temp/Logs/18_08_13.log)
测试发现直接被截断了五石散,无法作为参数传递巫溪教育网,到此也实在没有办法继续利用文件包含漏洞。
[0x04]总结
此漏洞经测试发现只能用于 Windows 环境,Linux 会因路径解析只能识别 ”/“, 导致 http请求参数无法正常传参中国绳艺网,经测试 URL编码也没用。(可能是我姿势不到位)
历史相关
记一次完整的 WEB渗透提权攻击全过程(java小咸鱼的网安成长笔记一)
[0x00]前言
emmm,想必这个漏洞想必大家都知道,可能你们都已经玩烂了。
网上也有大把的复现文章,但并没有说明细节,导致我这个新人感觉挺懵逼的。
对此我在复现过程中遇到的一些问题,张炘炀可能也有道友也遇到过,在此给大家分享一下寰宇大战略。
废话不多说,进入正题。
[0x01]靶机环境
winserver 2003 + phpstudy +易酷CMS 2.4.1 + mysql
[0x02]易酷CMS 2.4.1 本地文件包含漏洞正常复现
1.生成错误日志(一句话代码)
cms 会记录一个错误日志到 empLogs[年_月_日.log]ps: 18_08_13.log
2.查看日志
3.包含文件
漏洞位置:
coreLibActionHomeMyAction.class.php
4.上菜刀
虽然我不知道为啥目录要打马赛克,因为看别人都是打了码的。
[0x03]那么问题来了。
问题1:
--由于本人不懂 PHP 这门世界上最好的语言,导致对于一些问题很是懵逼,但简单的了解了一下之后……,回到漏洞位置。
--经过查阅得知 $this->display(), 是用来链接内容或取变量值,我的理解是:把某个路径下的文件内容给包含进来,他的当前路径是 WEB 根路径。
--由于一开始不懂这个参数到底是什么意思黑色切割者 ,经过一番代码的阅读和测试发现‘my_’. trim($id) == ‘my_.. empLogs18_08_13.log’,那么 my_这级目录不存在也没报错,对PHP的知识了解太少,但经过测试发现趣旅网 ,真的瞎几把写都可以,比如(blablaOjbk.. empLogs18_08_13.log) 这样也能正常包含,可能是PHP 的一个 BUG,也有可能是我理解错误2k14空接。
问题2:
--最开始环境是装在 Linux 上面的,最后包含本地文件死活不成功,突然想到,包含文件参数是传递的相对路径美辰香醒,Win 可以正常解析.. empLogs18_08_13.log路径,可是 Linux 不认识这个路径分隔符,则解析不了这个路径。
--使用 “/”作为参数(blablaOjbk/../temp/Logs/18_08_13.log)
测试发现直接被截断了五石散,无法作为参数传递巫溪教育网,到此也实在没有办法继续利用文件包含漏洞。
[0x04]总结
此漏洞经测试发现只能用于 Windows 环境,Linux 会因路径解析只能识别 ”/“, 导致 http请求参数无法正常传参中国绳艺网,经测试 URL编码也没用。(可能是我姿势不到位)
历史相关
记一次完整的 WEB渗透提权攻击全过程(java小咸鱼的网安成长笔记一)