从目录遍历到getshell
某游戏厂商新增了一个网站,授权让我测试一下。
前台微信登录,未找到后台,功能简单,无常规漏洞,开始目录扫描。
/_notes/dwsync.xml泄露其真实ip,物理路径,以及一个旁站。
阿里云服务器,20001端口上有wdcp
爆破wdcp无果,旁站似乎是测试网站,使用和主站同一套模板,但主页空白,无数据。
查看cookie发现关键词XXX,怀疑是某cms的超级魔改版本。
github上搜索cookie['XXX'],出来很多套此cms的改版,仔细对比文件,发现目标站精简了很多东西,大部分php文件都没有。不过有/kindeditor/php/demo.php
KindEditor存在两个XSS漏洞,一是附件上传可以直接上传htm和html文件,二是demo.php可以POST content1参数反射出来。
<?php $htmlData = ''; if (!empty($_POST['content1'])) { if (get_magic_quotes_gpc()) { $htmlData = stripslashes($_POST['content1']); } else { $htmlData = $_POST['content1']; } }?><?php echo $htmlData; ?>这是都是最鸡肋的反射XSS,属于凑漏洞的。
但我发现这个cms的KindEditor还有一个漏洞,目录遍历。
漏洞发生在file_manager_json.php,这个文件是用来浏览已上传的文件的。
$php_path = dirname(__FILE__) . '/';________________________________$root_path = $php_path . '../attached/';________________________________if (empty($_GET['path'])) {$current_path = realpath($root_path) . '/';$current_url = $root_url;$current_dir_path = '';$moveup_dir_path = '';}
如果不存在attached目录,realpath($root_path)就为空,$current_path就为/也就是系统根目录,那么浏览文件时就可以看到/etc,/tmp,/var等文件夹了。虽然后面有禁止../的防护,但从根目录开始浏览防护就形同虚设了。
if (preg_match('/\.\./', $current_path)) { echo 'Access is not allowed.'; exit;}实际效果是这样的
通过path=www/web/xxx/就可以进行目录遍历了。
找到后台,找到后台一些越权的查询接口,最重要的是,在旁站找到了备份文件。2020xxxxx.tar.gz
果断下载备份文件开始代码审计。File路由中存在一个uploadBase64方法
没有任何校验,直接img_data=base64code&filetype=phpgetshell