bugku YCCMS漏洞

今天打bugku的在线awd

打的时候看到了

php 复制代码
	public function run() {
		$_m = isset($_GET['m']) ? $_GET['m'] : 'index';
		method_exists($this, $_m) ? eval('$this->'.$_m.'();') : $this->index();
	}

算个路由函数,通过m参数来指定model

当时就觉得eval这里有问题,但是看到前面的ethod_exists就感觉有力打不出,因为当时是内部赛,被别的事干扰了以至于去审计其他漏洞去了

事后我想着搜索一下这个yccms的漏洞没想到这里真的可以绕过

参考文章 https://blog.csdn.net/cosmoslin/article/details/123178882

POC

sh 复制代码
?a=Factory;phpinfo();//../

分析

从admin开始观察

php 复制代码
<?php
require str_replace('\\','/',substr(dirname(__FILE__),0,-6)).'/config/run.inc.php';
?>

跟进

可以发现代码很简单

如果类为Action结尾,就是controller目录下寻找

如果Model结尾,就在model目录下寻找

否则在public/class目录下寻找

跟进单入口

array数组中就是要登录才能访问的文件

这些文件都在controller目录下,以查询字符串a来传递控制器的类名

php 复制代码
if (!file_exists(ROOT_PATH.'/controller/'.ucfirst($_a).'Action.class.php')) $_a = 'Login';
eval('self::$_obj = new '.ucfirst($_a).'Action();');

漏洞点就在上面这个eval中,我们先看完整个流程
$_a 从getA 方法中来

而controller中,所有类都继承自 Action这个类

还记得单入口吗

这里实际就是返回后的控制器再执行了父类的run方法

首先判断本类是否有这个方法(method_exists),在eval执行本方法

总结一下

a指定控制器(类)

m指定类中的方法

任意代码执行

回过头分析漏洞点

php 复制代码
if (!file_exists(ROOT_PATH.'/controller/'.ucfirst($_a).'Action.class.php')) $_a = 'Login';
eval('self::$_obj = new '.ucfirst($_a).'Action();');

首先判断类是否存在,然后再new该类 我们可以通过 /../ 来绕过 file_exists 函数

这里举个栗子

php 复制代码
file_exists('index.php');	# true

上面判断是否有index.php

php 复制代码
file_exists('cvdavevfvdfavdacdsvd/../index.php');	# true

当我们伪造一个不存在的目录时,再使用 /.../,此函数则不会判断上一个目录是否存在

通过这个特性,我们只需要根据类的加载机制闭合前面的new语句即可执行

php 复制代码
eval('self::$_obj = new '.ucfirst($_a).'Action();');

还记得源码类的加载机制吗

如果类为Action结尾,就是controller目录下寻找

如果Model结尾,就在model目录下寻找

否则在public/class目录下寻找

所以我们再public/class目录下随便找个类即可,这里使用Factory测试

sh 复制代码
a=Factory;phpinfo();//../

sql注入

注入的话似乎很难

全局搜索addslashes函数

发现在Tool类中的setFormString函数

这是登录控制器的初始化类,主要负责登录的是AdminModel类

进入这个类,发现只要设置用户名或者密码就会进行引号的转义

我对这个转义现在还没有想到很好的办法,不知道有没有高手指点一下这个怎么过

相关推荐
码农12138号2 小时前
BUUCTF在线评测-练习场-WebCTF习题[GXYCTF2019]BabyUpload1-flag获取、解析
web安全·网络安全·文件上传漏洞·buuctf·解析漏洞
Johny_Zhao3 小时前
Docker + CentOS 部署 Zookeeper 集群 + Kubernetes Operator 自动化运维方案
linux·网络安全·docker·信息安全·zookeeper·kubernetes·云计算·系统运维
独行soc9 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Whoisshutiao10 小时前
网安-XSS-pikachu
前端·安全·网络安全
游戏开发爱好者81 天前
iOS重构期调试实战:架构升级中的性能与数据保障策略
websocket·网络协议·tcp/ip·http·网络安全·https·udp
安全系统学习1 天前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
A5rZ1 天前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
Bruce_Liuxiaowei1 天前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
2501_916013742 天前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
头发那是一根不剩了2 天前
双因子认证(2FA)是什么?从零设计一个安全的双因子登录接口
网络安全·系统设计·身份认证