统计
  • 建站日期:2021-03-15
  • 文章总数:62 篇
  • 评论总数:43 条
  • 分类总数:14 个
  • 最后更新:6天前

DolphinPHP 1.4.2 后台GetShell

本文阅读 2 分钟
广告

前言

发了一篇帖子一次网络诈骗&贷款网站渗透过程,有老哥在问后台是怎么getshell的,好像网上也没有这个详情???

废话少说

本地搭建完成后,首先进后台上传图片,进行抓包

可以看到访问路径为/admin/attachment/upload/dir/images/module/admin.html,首先查看admin/attachment/upload下的代码

打开/application/admin/controller/Attachment.php文件,查看upload函数(90~98行),传入dir、from、module三个参数,根据上面抓包内容来看,这里已经传入dir=images、module=admin两个参数,并未传入from参数,因此默认会进入$this->saveFile

接下来看一下saveFile函数第203~217行,对扩展名进行了校验,并且对后台添加的可上传扩展名进行正则校验,此路GG

接下来是from=ueditor的情况,可以查看配置文件/public/static/libs/ueditor/php/config.json第7行

此路不通,继续往下查看jcrop函数(第556~655行)

看关键位置第565~576行

没有任何过滤可直接上传到/public/uploads/temp/目录,而且还会回显路径???

测试一下吧

完全没问题,打完收工。

吐槽

官方在1.4.5的说明里写了修复一处文件上传,但是下载了1.4.4版本的包,跟1.4.5一样,官方可能把1.4.5的Attachment.php文件放到了1.4.4版本里,所以理论来说,这个方法是适用于1.4.5版本以下全版本的

本文来自投稿,不代表本站立场,如若转载,请注明出处:https://www.cnhacker.cc/PenetrationTest/284.html
-- 展开阅读全文 --
ThinkPHP日志分析工具
« 上一篇 04-19
红蓝对抗 | 利用MySQL蜜罐获取攻击者微信ID及手机号
下一篇 » 04-19
广告

发表评论

成为第一个评论的人

作者信息

广告

动态快讯

热门文章

广告

标签TAG

热评文章