前言
前几天爆出OURPHP有个后台任意文件删除漏洞,考虑到危害性不太大的情况下对此进行分析
分析
我们来删除这个我自己创建的文件夹
漏洞点在client/manage/ourphp_bakgo.php中,首先这里有个eval会执行这俩函数,但是前面那个有exit所以我们得绕过它,随便GET请求传入一个值即可
我们删除文件需要到第520行,来看看需要哪些参数
首先是最外层的嵌套,$_POST[back_type]=="partsave"和$_POST['action']=="databackup"
接下来是$_POST[dir]根据dir的值来判断目录是否存在,不存在则创建之后给777权限
接下来会根据dir的值遍历目录中文件并计数
之后手动删除即可
但是作为hacker的我们肯定是想要自动化的对吧,我们来看看只要$dfileNo=0也就是dir参数目录下无文件即可绕过exit,那我们传一个其他的
接下来第519行,这个reset功能是将指针重置到数组头
之后遍历数组即可,那我们只需要嘿嘿,直接给paylaod吧
url/client/manage/ourphp_bakgo.php?framename=y4tacker
POST数据
back_type=partsave&action=databackup&dir=y5tacker&dfile[]=y4tacker/1.txt&filedeled=1
此时文件已被我们删除了,完美分析
转载:https://blog.csdn.net/solitudi/article/details/115794004
查看评论