很早以前的一个洞,看到很有意思就拿来看看

这是雨曾经审过的一个洞,因为读取方式很特别复现了一下

upload\plus\weixin.php

public function responseMsg()

    {

		if(!$this->checkSignature())

		{

        	exit();

        }

		$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

		if (!empty($postStr))

		{

              	$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

                $fromUsername = $postObj->FromUserName;

                $toUsername = $postObj->ToUserName;

                $keyword = trim($postObj->Content);

				$keyword = iconv("utf-8","gb2312",$keyword);

                $time = time();

				$event = trim($postObj->Event);

				if ($event === "subscribe")

				{

					$word= "�ظ�j���ؽ����Ƹ���ظ�n����������Ƹ�������Գ�������ְλ�����硰��ơ���ϵͳ���᷵����Ҫ�ҵ���Ϣ������Ŭ�����������Ի��ķ���ƽ̨��лл��ע��";

					$text="<xml>

					<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

					<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

					<CreateTime>".$time."</CreateTime>

					<MsgType><![CDATA[text]]></MsgType>

					<Content><![CDATA[".$word."]]></Content>

					</xml> ";

					exit($text);

				}

               	if (!empty($keyword))

				{

					if($_CFG['sina_apiopen']=='0')

					{

							$word="��վ΢�Žӿ��Ѿ��ر�";

							$text="<xml>

							<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

							<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

							<CreateTime>".$time."</CreateTime>

							<MsgType><![CDATA[text]]></MsgType>

							<Content><![CDATA[".$word."]]></Content>

							</xml> ";

							exit($text);

					}

										$limit=" LIMIT 6";

										$orderbysql=" ORDER BY refreshtime DESC";

										if($keyword=="n")

										{

											$jobstable=table('jobs_search_rtime');

										}

										else if($keyword=="j")

										{

											$jobstable=table('jobs_search_rtime');

											$wheresql=" where `emergency`=1 ";

										}

										else

										{

										$jobstable=table('jobs_search_key');

										$wheresql.=" where likekey LIKE '%{$keyword}%' ";

										}

										$word='';

										$list = $id = array();

										$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);

										while($row = $this->fetch_array($idresult))

										{

										$id[]=$row['id'];

										}

										if (!empty($id))

										{

										$wheresql=" WHERE id IN (".implode(',',$id).") ";

										$result = $this->query("SELECT * FROM ".table('jobs').$wheresql.$orderbysql);

											while($row = $this->fetch_array($result))

											{

											//$row['jobs_url']=url_rewrite('QS_jobsshow',array('id'=>$row['id']));

											$row['addtime']=date("Y-m-d",$row['addtime']);

											$row['deadline']=date("Y-m-d",$row['deadline']);

											$row['refreshtime']=date("Y-m-d",$row['refreshtime']);

											$word.="{$row['companyname']}\n��Ƹְλ��{$row['jobs_name']}\nн�������{$row['wage_cn']}\n��Ƹ������{$row['amount']}\n�������ڣ�{$row['addtime']}\n��ֹ���ڣ�{$row['deadline']} \n--------------------------\n";

											}

										}

										if(empty($word))

										{

											$word="û���ҵ������ؼ��� {$keyword} ����Ϣ�����������ؼ���";

											$text="<xml>

											<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

											<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

											<CreateTime>".$time."</CreateTime>

											<MsgType><![CDATA[text]]></MsgType>

											<Content><![CDATA[".$word."]]></Content>

											</xml> ";

											exit($text);

										}

										else

										{

												$word=rtrim($word,'/\n');

												$word=rtrim($word,'-');

												$text="<xml>

												<ToUserName><![CDATA[".$fromUsername."]]></ToUserName>

												<FromUserName><![CDATA[".$toUsername."]]></FromUserName>

												<CreateTime>".$time."</CreateTime>

												<MsgType><![CDATA[text]]></MsgType>

												<Content><![CDATA[".$word."]]></Content>

												</xml> ";

												exit($text);

										}

				}

				else

				{

				exit("");

				}

    	}

	}

首先看到一个sql语句
$idresult = $this->query("SELECT id FROM {$jobstable} ".$wheresql.$orderbysql.$limit);
倒回去跟进几个变量

$orderbysql=" ORDER BY refreshtime DESC"
$limit=" LIMIT 6";
且当$keyword!=n/j时
$wheresql.=" where likekey LIKE '%{$keyword}%' ";

接着看$keyword
$keyword = trim($postObj->Content);
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);
$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];

重点来了$postStr = $GLOBALS["HTTP_RAW_POST_DATA"];
$GLOBALS["HTTP_RAW_POST_DATA"]这个东西其实基本上等于$_POST
唯一一点区别就是前者能接受不是php能识别的东西。

$postStr就是直接post过来的数据,没有经过任何处理,而且$GLOBALS["HTTP_RAW_POST_DATA"]这样传入进来的数据
可以无视gpc。
$postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);当然这里的$postStr应该是传入
xml然后经过simpxml_load_string解析。然后把xml解析过后的直接传入Content这就可以导致任意文件读出。

接着再看看条件

if(!$this->checkSignature())

		{

        	exit();

        }

跟进这个函数看看
在131到150行

private function checkSignature()

	{

        $signature = $_GET["signature"];

        $timestamp = $_GET["timestamp"];

        $nonce = $_GET["nonce"];

		$token = TOKEN;

		$tmpArr = array($token, $timestamp, $nonce);

		sort($tmpArr);

		$tmpStr = implode( $tmpArr );

		$tmpStr = sha1( $tmpStr );

		if($tmpStr == $signature )

		{

			return true;

		}

		else

		{

			return false;

		}

	}

}

所以在默认条件下,没有wx_token时,这个$tmpStr == $signature==da39a3ee5e6b4b0d3255bfef95601890afd80709,这是一个固定的值了,我们是完全可以利用上面的漏洞读入任意文件。

构造pyload

<?xml version="1.0" encoding="utf-8"?>

    <! DOCTYPE ANY [

    <!ENTITY % test SYSTEM "file:///c:/windows/win.ini">

    ]>

post传入这个可以读取

74cms漏洞分析的更多相关文章

  1. Zabbix 漏洞分析

    之前看到Zabbix 出现SQL注入漏洞,自己来尝试分析. PS:我没找到3.0.3版本的 Zabbix ,暂用的是zabbix 2.2.0版本,如果有问题,请大牛指点. 0x00 Zabbix简介 ...

  2. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

  3. CVE-2016-0143 漏洞分析(2016.4)

    CVE-2016-0143漏洞分析 0x00 背景 4月20日,Nils Sommer在exploitdb上爆出了一枚新的Windows内核漏洞PoC.该漏洞影响所有版本的Windows操作系统,攻击 ...

  4. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  5. CVE-2014-1767 漏洞分析(2015.1)

    CVE-2014-1767 漏洞分析 1. 简介 该漏洞是由于Windows的afd.sys驱动在对系统内存的管理操作中,存在着悬垂指针的问题.在特定情况下攻击者可以通过该悬垂指针造成内存的doubl ...

  6. CVE-2014-4115漏洞分析(2014.11)

    CVE-2014-4115漏洞分析 一.简介 该漏洞是由于Windows的Fastfat.sys组件在处理FAT32格式的硬盘分区存在问题.攻击者利用成功可导致权限提升. 影响的系统包括: Windo ...

  7. FFmpeg任意文件读取漏洞分析

    这次的漏洞实际上与之前曝出的一个 CVE 非常之类似,可以说是旧瓶装新酒,老树开新花. 之前漏洞的一篇分析文章: SSRF 和本地文件泄露(CVE-2016-1897/8)http://static. ...

  8. CVE-2016-10190 FFmpeg Http协议 heap buffer overflow漏洞分析及利用

    作者:栈长@蚂蚁金服巴斯光年安全实验室 -------- 1. 背景 FFmpeg是一个著名的处理音视频的开源项目,非常多的播放器.转码器以及视频网站都用到了FFmpeg作为内核或者是处理流媒体的工具 ...

  9. Oracle漏洞分析(tns_auth_sesskey)

    p216 Oracle漏洞分析: 开启oracle: C:\oracle\product\\db_1\BIN\sqlplus.exe /nolog conn sys/mima1234 as sysdb ...

随机推荐

  1. BZOJ 1605 [Usaco2008 Open]Crisis on the Farm 牧场危机:dp【找转移路径】

    题目链接:http://www.lydsy.com/JudgeOnline/problem.php?id=1605 题意: 平面直角坐标系中,有n个点,m个标记(坐标范围1~1000). 你可以发出口 ...

  2. css(4)

    类选择器和id选择器都有父子选择器. 在css文件中国,有时候为了简化样式,可以把相同的样式拿出来放在一起. display:inline display:block 行内元素里只能放行内元素,而块内 ...

  3. 天池历届大赛答辩PPT及视频

    1.阿里移动推荐算法: 答辩视频:https://space.dingtalk.com/c/gQHOEnXdXw 2.资金流入流出预测: 答辩视频:https://space.dingtalk.com ...

  4. 查看linux连接进程占用的实时流量 -nethogs

    1.安装nethogs yum -y install nethogs 2.安装完成后,就可以执行命令 nethogs 3.实时查看进程流量,来个图显示 图中会显示当前的nginx产生的流量有多少都会清 ...

  5. codevs 3049 舞蹈家怀特先生

    题目描述 Description 怀特先生是一个大胖子.他很喜欢玩跳舞机(Dance Dance Revolution, DDR),甚至希望有一天人家会脚踏“舞蹈家怀特先生”.可惜现在他的动作根本不能 ...

  6. linux下Redis以及c++操作

    使用不同的语言,redis支持不同的编程语言,但是调用了不同的redis包,例如: java对应jedis: php对应phpredis: C++对应的则是hredis. 安装Redis 上篇博客已经 ...

  7. bzoj 2159 Crash 的文明世界 & hdu 4625 JZPTREE —— 第二类斯特林数+树形DP

    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=2159 使用公式:\( n^{k} = \sum\limits_{i=0}^{k} S(k,i ...

  8. deleteMany is not a function

    问题: 同事使用了deleteMany方法用于删除数据,但是全公司只有我一个人报错deleteMany is not a function. 很自然,输出了model.deleteMany,得到的结果 ...

  9. 将eclipse java程序打包成jar的总结(包括工程中没有引用外部jar包和有引用外部jar包两种情况)

    一.当eclispe java工程中没有引用外部jar包时: 选中工程---->右键,Export...--->Java--->JAR file--->next-->填写 ...

  10. 如何解决 Matlab 画图时中文显示乱码的问题?

    使用的是win10系统,从前几个月某一天,我的matlab的figure里的中文都变成了口口.很是郁闷,还以为是动到了什么配置引起的. 前几天更新了matlab 2018b,发现还有这个问题.就觉得不 ...