很早以前的一个洞,看到很有意思就拿来看看

这是雨曾经审过的一个洞,因为读取方式很特别复现了一下

upload\plus\weixin.php

public function responseMsg()

    {

		if(!$this->checkSignature())

		{

        	exit();

        }

		$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

		if (!empty($postStr))

		{

              	$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

                $fromUsername = $postObj->FromUserName;

                $toUsername = $postObj->ToUserName;

                $keyword = trim($postObj->Content);

				$keyword = iconv("utf-8","gb2312",$keyword);

                $time = time();

				$event = trim($postObj->Event);

				if ($event === "subscribe")

				{

					$word= "�ظ�j���ؽ����Ƹ���ظ�n����������Ƹ�������Գ�������ְλ�����硰��ơ���ϵͳ���᷵����Ҫ�ҵ���Ϣ������Ŭ�����������Ի��ķ���ƽ̨��лл��ע��";

					$text="<xml>

					<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

					<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

					<CreateTime>".$time."</CreateTime>

					<MsgType><![CDATA[text]]></MsgType>

					<Content><![CDATA[".$word."]]></Content>

					</xml> ";

					exit($text);

				}

               	if (!empty($keyword))

				{

					if($_CFG['sina_apiopen']=='0')

					{

							$word="��վ΢�Žӿ��Ѿ��ر�";

							$text="<xml>

							<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

							<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

							<CreateTime>".$time."</CreateTime>

							<MsgType><![CDATA[text]]></MsgType>

							<Content><![CDATA[".$word."]]></Content>

							</xml> ";

							exit($text);

					}

										$limit=" LIMIT 6";

										$orderbysql=" ORDER BY refreshtime DESC";

										if($keyword=="n")

										{

											$jobstable=table('jobs_search_rtime');

										}

										else if($keyword=="j")

										{

											$jobstable=table('jobs_search_rtime');

											$wheresql=" where `emergency`=1 ";

										}

										else

										{

										$jobstable=table('jobs_search_key');

										$wheresql.=" where likekey LIKE '%{$keyword}%' ";

										}

										$word='';

										$list = $id = array();

										$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);

										while($row = $this->fetch_array($idresult))

										{

										$id[]=$row['id'];

										}

										if (!empty($id))

										{

										$wheresql=" WHERE id IN (".implode(',',$id).") ";

										$result = $this->query("SELECT * FROM ".table('jobs').$wheresql.$orderbysql);

											while($row = $this->fetch_array($result))

											{

											//$row['jobs_url']=url_rewrite('QS_jobsshow',array('id'=>$row['id']));

											$row['addtime']=date("Y-m-d",$row['addtime']);

											$row['deadline']=date("Y-m-d",$row['deadline']);

											$row['refreshtime']=date("Y-m-d",$row['refreshtime']);

											$word.="{$row['companyname']}\n��Ƹְλ��{$row['jobs_name']}\nн�������{$row['wage_cn']}\n��Ƹ������{$row['amount']}\n�������ڣ�{$row['addtime']}\n��ֹ���ڣ�{$row['deadline']} \n--------------------------\n";

											}

										}

										if(empty($word))

										{

											$word="û���ҵ������ؼ��� {$keyword} ����Ϣ�����������ؼ���";

											$text="<xml>

											<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

											<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

											<CreateTime>".$time."</CreateTime>

											<MsgType><![CDATA[text]]></MsgType>

											<Content><![CDATA[".$word."]]></Content>

											</xml> ";

											exit($text);

										}

										else

										{

												$word=rtrim($word,'/\n');

												$word=rtrim($word,'-');

												$text="<xml>

												<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

												<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

												<CreateTime>".$time."</CreateTime>

												<MsgType><![CDATA[text]]></MsgType>

												<Content><![CDATA[".$word."]]></Content>

												</xml> ";

												exit($text);

										}

				}

				else

				{

				exit("");

				}

    	}

	}

首先看到一个sql语句
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
倒回去跟进几个变量

$orderbysql=" ORDER BY refreshtime DESC"
$limit=" LIMIT 6";
且当$keyword!=n/j时
$wheresql.=" where likekey LIKE '%{$keyword}%' ";

接着看$keyword
$keyword = trim($postObj->Content);
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

重点来了$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个东西其实基本上等于$_POST
唯一一点区别就是前者能接受不是php能识别的东西。

$postStr就是直接post过来的数据,没有经过任何处理,而且$GLOBALS["HTTP_RAW_POST_DATA"]这样传入进来的数据
可以无视gpc。
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);当然这里的$postStr应该是传入
xml然后经过simpxml_load_string解析。然后把xml解析过后的直接传入Content这就可以导致任意文件读出。

接着再看看条件

if(!$this->checkSignature())

		{

        	exit();

        }

跟进这个函数看看
在131到150行

private function checkSignature()

	{

        $signature = $_GET["signature"];

        $timestamp = $_GET["timestamp"];

        $nonce = $_GET["nonce"];

		$token = TOKEN;

		$tmpArr = array($token, $timestamp, $nonce);

		sort($tmpArr);

		$tmpStr = implode( $tmpArr );

		$tmpStr = sha1( $tmpStr );

		if($tmpStr == $signature )

		{

			return true;

		}

		else

		{

			return false;

		}

	}

}

所以在默认条件下,没有wx_token时,这个$tmpStr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,这是一个固定的值了,我们是完全可以利用上面的漏洞读入任意文件。

构造pyload

<?xml version="1.0" encoding="utf-8"?>

    <! DOCTYPE ANY [

    <!ENTITY % test SYSTEM "file:///c:/windows/win.ini">

    ]>

post传入这个可以读取

74cms漏洞分析的更多相关文章

  1. Zabbix 漏洞分析

    之前看到Zabbix 出现SQL注入漏洞,自己来尝试分析. PS:我没找到3.0.3版本的 Zabbix ,暂用的是zabbix 2.2.0版本,如果有问题,请大牛指点. 0x00 Zabbix简介 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. CVE-2016-0143 漏洞分析(2016.4)

    CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击 ...

  4. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  5. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  6. CVE-2014-4115漏洞分析(2014.11)

    CVE-2014-4115漏洞分析 一.简介 该漏洞是由于Windows的Fastfat.sys组件在处理FAT32格式的硬盘分区存在问题.攻击者利用成功可导致权限提升. 影响的系统包括: Windo ...

  7. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  8. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  9. Oracle漏洞分析(tns_auth_sesskey)

    p216 Oracle漏洞分析: 开启oracle: C:\oracle\product\\db_1\BIN\sqlplus.exe /nolog conn sys/mima1234 as sysdb ...

随机推荐

  1. 草原psd素材

    草原PSD素材,草原,风景,蓝天白云,飞鸟,阳光,绿色,草地. http://www.huiyi8.com/caoyuan/psd/

  2. 分享知识-快乐自己:MySQL中的约束,添加约束,删除约束,以及一些其他修饰

    创建数据库: CREATE DATABASES 数据库名: 选择数据库: USE 数据库名: 删除数据库: DROP DATAVBASE 数据库名: 创建表: CREATE TABLE IF NOT ...

  3. python练习1(简单爬虫)

    做一个简单的练习 目标:爬取中文小说 目标网站:http://www.biqule.com/book_58/26986.html 只爬取正文部分. 使用requests库来获取网页信息,使用re库正则 ...

  4. 第三届蓝桥杯预赛c++b组

    1.微生物增值 假设有两种微生物 X 和 Y     X出生后每隔3分钟分裂一次(数目加倍),Y出生后每隔2分钟分裂一次(数目加倍).     一个新出生的X,半分钟之后吃掉1个Y,并且,从此开始,每 ...

  5. codeforces 659G G. Fence Divercity(dp)

    题目链接: G. Fence Divercity time limit per test 2 seconds memory limit per test 256 megabytes input sta ...

  6. leetcode 43. Multiply Strings(高精度乘法)

    Given two numbers represented as strings, return multiplication of the numbers as a string. Note: Th ...

  7. Linux网络编程socket错误分析

    socket错误码: EINTR: 阻塞的操作被取消阻塞的调用打断.如设置了发送接收超时,就会遇到这种错误. 只能针对阻塞模式的socket.读,写阻塞的socket时,-1返回,错误号为INTR.另 ...

  8. Java se 知识图解

  9. 有关mapminmax的用法详解

    几个要说明的函数接口: [Y,PS] = mapminmax(X) [Y,PS] = mapminmax(X,FP) Y = mapminmax('apply',X,PS) X = mapminmax ...

  10. WPF学习系列之二 (依赖项属性)

    依赖属性;(dependency property)  它是专门针对WPF创建的,但是WPF库中的依赖项属性都使用普通的.NET属性过程进行了包装.从而可能通过常规的方式使用它们,即使使用他们的代码不 ...