没有标题的渗透
一切的故事都源自一条大晚上qq消息
我当时正在看一套.net程序然后这个逼大晚上找过来,想着直接睡觉不回的,怕我师傅第二天打我。
拿到源码直接拖进Sublime Text(很多人问代码审计应该用编辑器方便,只要你想,记事本都可以挖洞。)
审thinkphp,我喜欢先看版本然后方便快速定位漏洞
还有就是看TP的common.php这种类似文件,有无使用全局函数
protected function _get_where(){
$data = param_filter($_GET, array("mobile","realname","status","uid","start_create_time","end_create_time","card_id","status"));
$where = "1";
if(is_set($data, 'mobile')){
$where .= " AND mobile='".$data['mobile']."'";
}
if(is_set($data, 'realname')){
$where .= " AND realname like '%".$data['realname']."%'";
}
if(is_set($data, 'status')){
$where .= " AND status='".$data['status']."'";
}
if(is_set($data, 'uid')){
$where .= " AND uid='".$data['uid']."'";
}
if(is_set($data,'start_create_time')){
$where .= " AND create_time>='".$data['start_create_time']."'";
}else{
$it = time()-30*6*24*60*60;
$times = date("Y-m-d H:i:s",$it);
$where .= " AND create_time>='".$times."'";
}
通过全局GET获取内容经过param_filter函数
function param_filter($param,$allow,$must=NULL,$filter=false,$notnull=false){
if(empty($param)) return false;
$newAllow = $newMust = array();
$param = (array)$param;
//判断必须参数
if(!empty($must)){
foreach ($must as $k){
if(!isset($param[$k])) {//没有字段就返回
return false;//缺少必须字段
} else {
$newMust[$k] = trim($param[$k]);//符合要求放在新数组,过滤空格
if($filter){
//$newMust[$k] = htmlspecialchars($newMust[$k]);
}
if($notnull){
if($newMust[$k] == ""){
return false;
}
}
}
}
}
// 过滤无效参数
if(!empty($allow)){
foreach($allow as $k) {
if(isset($param[$k])) {
//符合要求的字段放在新数组
$newAllow[$k] = trim($param[$k]);//过滤空格
if($filter){
$newAllow[$k] = htmlspecialchars($newAllow[$k]);
}
}
}
//请求参数全部都不是允许的字段返回false
if(empty($newAllow)){
return false;
}
}
//整合返回数组,相同字段会覆盖
return $allow = array_merge($newAllow, $newMust);
}
遍历获取指定key的内容,期间未使用任何安全函数之类所以这里可以注入
nms
public function iupload($type="qrcode"){
$upload = new \Think\Upload();
$upload->rootPath = "/";
$upload->savePath = "/upload/".$type."/";
$filrInfo = $upload->upload();
if($filrInfo == false){
$this -> error = $upload -> getError();
}
return $filrInfo;
}
在base内发现了一处上传,跟进upload看看有没针对

发现有针对后缀的白名单处理,瞬间就不美丽。想着TP如何快速getshell

TP很喜欢在Runtime里面缓存模版或者数据缓存之类的。快速函数定位寻找可控点
public function __construct() {
$this->_getConfig();//获取配置文件
//读取模板id并缓存
//TODO
$tmpl = S("TMPL");
if(empty($tmpl) || 1){
$tmpl = $this->_getTmpId();//获取模板id
S("TMPL",$tmpl);
}
$this->tmpl = $tmpl;
在base文件发现有从数据库取tmpl内容然后缓存写入,都2020年了,很多都支持pdo。直接让他去操作了