---恢复内容开始---
背景
今天我们换一个方式来分析这个漏洞,从渗透的角度去搞。
渗透过程
测试漏洞
先来看看,观察URL是:http://192.168.195.195/bWAPP/phpi.php
message像是有链接,点击看看
在查看url是http://192.168.195.195/bWAPP/phpi.php?message=test,GET型参数,burp扫一下
感觉不对,怎么可能只有Flash跨域红红的,目测这个地方是echo xxxx,猜测代码:
<?php
echo $_GET["message"];
?>可是这样哪里来的代码注入啊,难道message有问题,测试phpinfo(),果然有问题
那就可以看代码了,执行message=system("cat phpi.php > phpi.txt") ,请求一下phpi.txt
我们来看代码:
代码设计
<?php
if(isset($_REQUEST["message"]))
{
// If the security level is not MEDIUM or HIGH
if($_COOKIE["security_level"] != "1" && $_COOKIE["security_level"] != "2")
{
?>
<p><i><?php @eval ("echo " . $_REQUEST["message"] . ";");?></i></p>
<?php
}
// If the security level is MEDIUM or HIGH
else
{
?>
<p><i><?php echo htmlspecialchars($_REQUEST["message"], ENT_QUOTES, "UTF-8");;?></i></p>
<?php
}
}
?>卧槽,什么鬼竟然用了eval,这个可是执行代码内容的函数,类似的还有asset、preg_replace、call_user_func, call_user_func_array,array_map等等,这其中还包括thinkphp5-RCE的罪魁祸首函数哈哈。中级和高级过滤了,使用了htmlspecialchars函数就OK了