注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

龙少'Blog

 

 
 
 

日志

 
 

phpmywind 多个鸡肋漏洞  

2012-08-26 10:11:26|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

硬盘里面有个程序看看 不知道是不是最新的 套着看吧

upload_filemgr_dir.php

<?php    if(empty($dirname) or $dirname=='uploads/')  {  $dirname = 'uploads/';  $dirhigh = 'javascript:;';  $dirtext = '上传根目录';  }  else  {  $dirarr = explode('/', $dirname);  $curnum = count($dirarr)-2;  $dirhigh = '?mode=dir&dirname=';  $dirtext = '返回上一层';    for($i=0; $i<$curnum; $i++)  {  $dirhigh .= $dirarr[$i].'/';  }  }  ?>

鸡肋一 变量$dirname没进过滤

导致各种遍历

登陆后台看看

phpmywind 多个鸡肋漏洞

鸡肋二 文件没进行权限验证 导致越权访问

phpmywind 多个鸡肋漏洞

鸡肋三 同样文件没有进行权限验证upload_filemgr_sql.php


if(!empty($keyword))  {  $sql = "SELECT * FROM `dede_uploads` WHERE name LIKE '%$keyword%'";  }  else  {  $sql = "SELECT * FROM `dede_uploads`";  }    $dopage->GetPage($sql, 50);  while($row = $dosql->GetArray())  {  ?>  <tr align="center" class="mgr_tr">  <td height="30"><input type="checkbox" name="checkid[]" id="checkid[]" value="<?php echo $row['path']; ?>" /></td>  <td><?php echo $row['name']; ?></td>  <td><?php echo $row['type']; ?></td>  <td class="number"><span><?php echo GetDateTime($row['posttime']); ?></span></td>  <td><?php echo GetRealSize($row['size']); ?></td>  <td class="action"><span>[<a href="../<?php echo $row['path']; ?>" target="_blank">预览</a>]</span><span>[<a href="upload_filemgr_save.php?mode=sql&action=del&id=<?php echo $row['id']; ?>&path=<?php echo $row['path']; ?>" onclick="return ConfDel(0);">删除</a>]</span></td>  </tr>  <?php  }  ?>

$keyword 木有进行过滤 导致注入

直接访问 木有找到GetPage函数导致出错 注入变成鸡肋

phpmywind 多个鸡肋漏洞

后台拿webshell

默认模板 找到php文件 直接插入一句话


phpmywind 多个鸡肋漏洞

再送一个找后台方法 

Mysql类

function DisplayError($msg)  {      $emsg = '';      $emsg .= '<div><h3 style="color:red;line-height:30px;">请检查执行语句是否正确或录入内容是否正确!</h3>';      $emsg .= '<strong>错误文件</strong>:'.GetCurUrl().'<br />';      $emsg .= '<strong>错误信息</strong>:'.$msg.'';      $emsg .= '</div>';        echo $emsg;        //保存MySql错误日志      $savemsg = 'Page: '.GetCurUrl()."\r\nError: ".$msg;      $fp = @fopen(dirname(__FILE__).'/../data/error/mysql_error_trace.txt', 'a');      @fwrite($fp, "{$savemsg}\r\n\r\n\r\n");      @fclose($fp);  }

网址加 data/error/mysql_error_trace.txt 找后台

phpmywind 多个鸡肋漏洞

  评论这张
 
阅读(192)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017