[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE
相关标签: # 数据库# sql# github# 数据# 脚本
文章目录
- 写在前面
- 分析
- 脚本
写在前面
本次强网杯决赛的一个题,还是蛮有意思的,代码可以在github拿到
https://github.com/rainrocka/xinhu
分析
首先这个系统存在弱口令,在题目给的sql文件当中通过在线md5得到test/abc123
接下来就是随便找一个地方进行文件上传
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_github](https://img.hake.cc/net_images/x5pbjxrkrmv.png "在这里插入图片描述")
我们抓包看看对这个php文件进行了什么处理,其调用了webmain/task/api/uploadAction.php下uploadClassAction类的upfileAction函数
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_github_02](https://img.hake.cc/net_images/3jpu3zprwdw.png "在这里插入图片描述")
引入插件,实例化upfileChajian类
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_thinkphp_03](https://img.hake.cc/net_images/5ukjsnlntru.png "在这里插入图片描述")
跳过不需太过于关注的部分,我们跟踪up函数
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_thinkphp_04](https://img.hake.cc/net_images/gyl5yn2vcxm.png "在这里插入图片描述")
看看issavefile
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_php_05](https://img.hake.cc/net_images/jmag5kx4puf.png "在这里插入图片描述")
是一个白名单很明显php后缀不符合
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_php_06](https://img.hake.cc/net_images/fcchxyx5e0o.png "在这里插入图片描述")
跳过不相干一堆函数
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_github_07](https://img.hake.cc/net_images/cxqdat0q0xe.png "在这里插入图片描述")
可以很明显的发现这类白名单外的文件会被改后缀为uptemp
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_php_08](https://img.hake.cc/net_images/sln2mbjgq2a.png "在这里插入图片描述")
内容为原来内容的base64编码结果,猜测估计是为了防止文件包含,不过都到这里了确实有点小单纯
接下来就是最关键的地方,在webmain\task\runt\qcloudCosAction.php腾讯云存储下的qcloudCosClassAction的run方法,根据id从数据库取出数据,接下来看图
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_github_09](https://img.hake.cc/net_images/rjest2p135m.png "在这里插入图片描述")
一方面恢复了php后缀,另一方面内容也通过base64还原了
运行下下面的脚本可以看见成功执行whoami
![[代码审计]信呼协同办公系统2.2存在文件上传配合云处理函数组合拳RCE_github_10](https://img.hake.cc/net_images/ajupqse40n5.png "在这里插入图片描述")
脚本
1.php
exp.py
文章来源: https://blog.51cto.com/u_15847702/5827475
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
