2. 程式人生 > >【代碼審計】CLTPHP_v5.5.3後臺任意文件下載漏洞分析

【代碼審計】CLTPHP_v5.5.3後臺任意文件下載漏洞分析

阿新 發佈:2018-12-02
func attach database 9.png jpg 允許 left 簡單 服務

0x00 環境準備

CLTPHP官網:http://www.cltphp.com

網站源碼版本:CLTPHP內容管理系統5.5.3版本

程序源碼下載:https://gitee.com/chichu/cltphp

默認後臺地址: http://127.0.0.1/admin/login/index.html

默認賬號密碼: 後臺登錄名:admin 密碼:admin123

測試網站首頁:

技術分享圖片

0x01 代碼分析

1、/app/admin/controller/Database.php 第203-219行:

  1. public function downFile() {
  2. $file = $this
    ->request->param(‘file‘);
  3. $type = $this->request->param(‘type‘);
  4. if (empty($file) || empty($type) || !in_array($type, array("zip", "sql"))) {
  5. $this->error("下載地址不存在");
  6. }
  7. $path = array("zip" => $this->datadir."zipdata/", "sql" => $this->datadir);
  8. $filePath = $path[$type] . $file;
  9. if (!file_exists($filePath)) {
  10. 10. $this->error("該文件不存在,可能是被刪除");
  11. 11. }
  12. 12. $filename = basename($filePath);
  13. 13. header("Content-type: application/octet-stream");
  14. 14. header(‘Content-Disposition: attachment; filename="‘ . $filename . ‘"‘);
  15. 15. header("Content-Length: " . filesize($filePath));
  16. 16. readfile($filePath);

17. }

在這段函數中,參數file未經任何處理,直接進行參數拼接,然後下載,導致程序在實現上存在任意文件下載漏洞,可以構造參數下載服務器任意文件,如腳本代碼,服務及系統配置文件等;可用得到的代碼進一步代碼審計,得到更多可利用漏洞。

0x02 漏洞利用

1、登錄網站後臺,構造url參數下載網站配置文件:

http://127.0.0.1/admin/Database/downFile.html?type=sql&file=..\\..\\app\\database.php

技術分享圖片

2、成功下載數據庫配置文件,獲取敏感信息內容

技術分享圖片

0x03 修復建議

1、在下載前對傳入的參數進行過濾,直接將..替換成空,就可以簡單實現防範的目的

2、最好還是可以對待下載文件類型進行二次檢查,判斷是否允許下載類型。

最後

歡迎關註個人微信公眾號:Bypass--,每周原創一篇技術幹貨。

技術分享圖片

【代碼審計】CLTPHP_v5.5.3後臺任意文件下載漏洞分析

相關推薦

審計CLTPHP_v5.5.3後臺任意下載漏洞分析

func attach database 9.png jpg 允許 left 簡單 服務 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://git

審計CLTPHP_v5.5.3後臺任意刪除漏洞分析

login alt flag div 網站源碼 用戶 urn 測試 result 0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站源碼版本:CLTPHP內容管理系統5.5.3版本 程序源碼下載:https://gitee.c

程式碼審計CLTPHP_v5.5.3 前臺任意檔案上傳漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

程式碼審計CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3後臺目錄遍歷漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

審計XDCMS 報錯註入

信息 輸入 alt 變量 出現 img 語句 limit lec   審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲 --------------------------------------------

審計VAuditDemo 重裝漏洞

demo http ima 重裝 config 退出 網站安全 執行 知識 一、源碼安裝漏洞介紹   一般在PHP源碼程序都有一個初始安裝的功能,如果相關代碼沒有對參數進行嚴格過濾,可能會導致攻擊者訪問安裝頁面(install.php)或構造數據包,對網站進行重新安裝,從而

審計VAuditDemo 包含漏洞

http code 頭像 col 函數 文件名 中一 判斷 包含漏洞 在 index.php中先判斷get過來的module是否設置了變量,如果已經設置,則包含module,並與字符串.inc拼接 inc格式一般是圖標或者頭像格式,因此我們可以初步判斷,這個包含應該是基於

審計VAuditDemo 後臺登錄功能驗證繞過

-1 php 審計 use 存在 功能 post nbsp logs 在 admin/logCheck.php中 $_POST[‘user‘]和$_POST[‘pass‘] 未經過任何過濾或者編碼處理就傳入到$query中,可能存在萬能密碼繞過機制 但是$pass經過了加

審計兩個任意讀取漏洞實例

狀態 內容 cfg 必須 名稱 ror div 完整 FN 0x00 前言 0x01 漏洞實例一 環境搭建: XYHCMS官網:http://www.xyhcms.com/ 網站源碼版本:XYHCMS V3.5(2017-12-04 更新) 程序源碼下載:https:

審計Spring Integration Zip不安全解壓(CVE-2018-1261)漏洞分析

圖片 ssa clas port als put gets 9.png after 1.漏洞相關信息 漏洞名稱:Spring Integration Zip不安全解壓 漏洞編號:CVE-2018-1261 漏洞描述:在spring-integration-zip.v1.0.

JS壓縮使用YUI Compressor對js進行壓縮處理

js代碼 bird spell 說明 ber enum ide relative auto 概述在使用html5開發Hybird APP的時候,可能會引入大量的js包,另外對於一些核心的js文件,進行一些特殊的處理,如壓縮和加密就顯得很重要了,YUI Compressor就

Discuz!X 3.4 任意刪除漏洞復現過程(附python腳本)

文件刪除 def aaa dal -1 headers bug send auth   今天看下群裏在討論Discuz!X 3.4 任意文件刪除漏洞,自己做了一些測試,記錄一下過程。結尾附上自己編寫的python腳本,自動化實現任意文件刪除。 具體漏洞,請查看 https:

筆記JTable 、TableModel的使用3

init ima ble ane style size mod 通過 efault 在java中插入Table,並通過TableModel插入表格初始化狀態後,如果需要第一行標題欄進行重命名,直接利用TableModel接口去實現列名修改,在圖形顯示中是無法實現的。 這裏需

學習PHP面向對象之抽象類與接口

部分 truct 中國人 protect nds 16px 使用 function col 一、什麽是抽象方法?   一個方法如果沒有方法體(不使用"{}",直接使用分號結束的方法,才是沒有方法體的方法),則這個方法就是抽象方法 1、聲明一個方法,不使用{},而直接分號結束

學習PYHTON 元組

ext test .py logs 最大 最大值 不同 trace pytho Python的元組與列表類似,不同之處在於元組的元素不能修改。也可進行分片 和 連接操作. 元組使用小括號,列表使用方括號。 一、訪問元組 #coding=utf-8 Tuple = (‘na

學習PYTHON 異常處理

上下文 當前 異常處理 通過 工作 相同 try語句 標記 異常信息 一、什麽是異常   在程序執行過程中可能會影響程序的正常執行,一般情況下,在python無法正常處理程序時就會發生一個異常   當python腳本發生異常時我們需要捕獲處理他,否則程序會終止執行 二、異常

優化考慮使用靜態工廠方法取代構造器

ava tracking 什麽事 依據 mod true data -m span 靜態工廠方法與設計模式中的工廠方法模式不同,和設計模式中的工廠方法模式不直接相應。 使用靜態工廠方法比構造器的優勢: 第一、靜態工廠方法是有名稱的,而構造器是通過