2. 程式人生 > >【程式碼審計】XYHCMS V3.5任意檔案下載漏洞分析

【程式碼審計】XYHCMS V3.5任意檔案下載漏洞分析

阿新 發佈:2018-12-13

 

0x00 環境準備

XYHCMS官網:http://www.xyhcms.com/

網站原始碼版本:XYHCMS V3.5(2017-12-04 更新)

程式原始碼下載:http://www.xyhcms.com/Show/download/id/2/at/0.html

測試網站首頁:

 

0x01 程式碼分析

1、漏洞檔案位置:/App/Manage/Controller/DatabaseController.class.php  第365-379行:

  1. public function downFile() {  
  2.     if (empty($_GET['file']) || empty($_GET['type']) || !in_array($_GET['type'], array("zip", "sql"))) {  
  3.         $this->error("下載地址不存在");  
  4.     }  
  5.     $path     = array("zip" => $this->getDbPath() . "Zip/", "sql" => $this->getDbPath() . '/');  
  6.     $filePath = $path[$_GET['type']] . $_GET['file'];  
  7.     if (!file_exists($filePath)) {  
  8.         $this->error("該檔案不存在,可能是被刪除");  
  9.     }  
  10. 10.     $filename = basename($filePath);  
  11. 11.     header("Content-type: application/octet-stream");  
  12. 12.     header('Content-Disposition: attachment; filename="' . $filename . '"');  
  13. 13.     header("Content-Length: " . filesize($filePath));  
  14. 14.     readfile($filePath);  

15. }  

這段函式中對提交的引數進行處理,首先判斷file/type引數是否為空及type檔案型別,然後拼接成完整的檔案路徑,檢測檔案是否存在。可以看出並沒有對下載的檔案做任何限制,導致程式在實現上存在任意檔案下載漏洞,可以構造引數下載伺服器任意檔案,如指令碼程式碼,服務及系統配置檔案等;可用得到的程式碼進一步程式碼審計,得到更多可利用漏洞。

0x02 漏洞利用

1、登入網站後臺,資料庫配置檔案路徑:\\App\\Common\\Conf\\db.php

因此‘/’作為引數邊界識別符,我們可以用‘\\’,來替換,組成相對路徑地址,下載資料庫配置檔案,構造url連結如下:

http://127.0.0.1/xyhai.php?s=/Database/downFile/file/..\\..\\..\\App\\Common\\Conf\\db.php/type/zip

 

2、成功跳出下載框,下載成功後,開啟配置檔案,獲取資料庫敏感資訊:

 

0x03 修復建議

1、在下載前對傳入的引數進行過濾,直接將..替換成空,就可以簡單實現防範的目的

2、最好還是可以對待下載檔案型別進行二次檢查,判斷是否允許下載型別。

 

最後

歡迎關注個人微信公眾號:Bypass--,每週原創一篇技術乾貨。 

 

相關推薦

程式碼審計XYHCMS V3.5任意檔案下載漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

程式碼審計XYHCMS V3.5任意檔案刪除漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

程式碼審計EasySNS_V1.6 前臺任意檔案下載漏洞分析

  0x00 環境準備 EasySNS官網:http://www.imzaker.com/ 網站原始碼版本:EasySNS極簡社群V1.60 程式原始碼下載:http://es.imzaker.com/index.php/Topic/gview/id/92.html 預設後臺地址:http

程式碼審計XYHCMS V3.5程式碼執行漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/downl

程式碼審計大米CMS_V5.5.3 SQL注入漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計XYHCMS V3.5URL重定向漏洞分析

  0x00 環境準備 XYHCMS官網:http://www.xyhcms.com/ 網站原始碼版本:XYHCMS V3.5(2017-12-04 更新) 程式原始碼下載:http://www.xyhcms.com/Show/download/id/2/at/0.html 測試網站首頁:

程式碼審計iZhanCMS_v2.1 前臺儲存型XSS漏洞分析

  0x00 環境準備 iZhanCMS官網:http://www.izhancms.com 網站原始碼版本:愛站CMS(zend6.0) V2.1 程式原始碼下載:http://www.izhancms.com/category/Category/index/cid/1 預設後臺:htt

程式碼審計CLTPHP_v5.5.3後臺任意檔案下載漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計大米CMS_V5.5.3 任意檔案讀取漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計大米CMS_V5.5.3 任意檔案刪除及程式碼執行漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計大米CMS_V5.5.3 後臺多處儲存型XSS漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計大米CMS_V5.5.3 目錄遍歷漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計大米CMS_V5.5.3 程式碼執行漏洞分析

  0x00 環境準備 大米CMS官網:http://www.damicms.com 網站原始碼版本:大米CMS_V5.5.3試用版(更新時間:2017-04-15) 程式原始碼下載:http://www.damicms.com/downes/dami.rar 測試網站首頁:  

程式碼審計CLTPHP_v5.5.3後臺任意檔案刪除漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3 前臺任意檔案上傳漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計CLTPHP_v5.5.3前臺XML外部實體注入漏洞分析

0x01 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/login/index

程式碼審計CLTPHP_v5.5.3後臺目錄遍歷漏洞分析

  0x00 環境準備 CLTPHP官網:http://www.cltphp.com 網站原始碼版本:CLTPHP內容管理系統5.5.3版本 程式原始碼下載:https://gitee.com/chichu/cltphp 預設後臺地址: http://127.0.0.1/admin/log

程式碼審計Cscms_v4.1 任意檔案刪除漏洞例項

  環境搭建: CSCMS :http://www.chshcms.com/ 網站原始碼版本:Cscms_v4.1正式版(釋出日期:2017-06-05) 程式原始碼下載:https://github.com/chshcms/cscms   漏洞例項一: 漏洞檔案位

程式碼審計YzmCMS_PHP_v3.6 任意檔案刪除漏洞分析

  0x00 環境準備 YzmCMS官網:http://www.yzmcms.com/ 程式原始碼下載:http://pan.baidu.com/s/1pKA4u99 測試網站首頁:   0x01 程式碼分析 1、檔案位置: /application/member/contr

程式碼審計XIAOCMS_後臺database.php頁面存在任意檔案刪除漏洞

  0x00 環境準備 XIAOCMS官網: http://www.xiaocms.com/ 網站原始碼版本:XiaoCms (釋出時間:2014-12-29) 程式原始碼下載:http://www.xiaocms.com/download/XiaoCms_20141229.zip 測試網