phpweb成品网站最新版上传、注入漏洞

软件版本： V2.0.5 / 20120412

商业收费软件

官网：www.phpweb.net

漏洞文件:search/module/search.php

/search/index.php?key=1&myord=1 [sqlinjection]

上传漏洞:
漏洞文件: /kedit/upload_cgi/upload.php

1. <?php
   
2. define("ROOTPATH", "../../");
   
3. include(ROOTPATH."includes/admin.inc.php");
   
4. NeedAuth(0);
   
5. 
   
6. 
   
7. $dt=date("Ymd",time());
   
8. if(!is_dir(ROOTPATH.$_POST['attachPath'].$dt)){
   
9.         @mkdir(ROOTPATH.$_POST['attachPath'].$dt,0777);
   
10. }
    
11. 
    
12. //文件保存目录路径
    
13. $save_path = ROOTPATH.$_POST['attachPath'].$dt.'/';
    
14. echo $save_path;
    
15. //文件保存目录URL
    
16. $save_url = '../../'.$_POST['attachPath'].$dt.'/';
    
17. 
    
18. //定义允许上传的文件扩展名
    
19. $ext_arr = array('gif','jpg','png','bmp'); //限制后缀
    
20. 
    
21. //最大文件大小
    
22. $max_size = 1000000;
    
23. 
    
24. //更改目录权限
    
25. @mkdir($save_path, 0777);
    
26. 
    
27. //文件的全部路径
    
28. $file_path = $save_path.$_POST['fileName'];   //保存文件名
    
29. 
    
30. //文件URL
    
31. $file_url = $save_url.$_POST['fileName'];
    
32. 
    
33. //有上传文件时
    
34. if (empty($_FILES) === false) {
    
35. 
    
36.         //原文件名
    
37.         $file_name = $_FILES['fileData']['name'];
    
38.         //服务器上临时文件名
    
39.         $tmp_name = $_FILES['fileData']['tmp_name'];
    
40.         //文件大小
    
41.         $file_size = $_FILES['fileData']['size'];
    
42.         //检查目录
    
43.         if (@is_dir($save_path) === false) {
    
44.                 alert("上传目录不存在。");
    
45.         }
    
46.         //检查目录写权限
    
47.         if (@is_writable($save_path) === false) {
    
48.                 alert("上传目录没有写权限。");
    
49.         }
    
50.         //检查是否已上传
    
51.         if (@is_uploaded_file($tmp_name) === false) {
    
52.                 alert("临时文件可能不是上传文件。");
    
53.         }
    
54.         //检查文件大小
    
55.         if ($file_size > $max_size) {
    
56.                 alert("上传文件大小超过限制。");
    
57.         }
    
58.         //获得文件扩展名
    
59.         $temp_arr = explode(".", $_POST['fileName']);
    
60.         $file_ext = array_pop($temp_arr);
    
61.         $file_ext = trim($file_ext);
    
62.         $file_ext = strtolower($file_ext);
    
63. 
    
64.         //检查扩展名   
    
65.         if (in_array($file_ext, $ext_arr) === false) {     
    
66.                 alert("上传文件扩展名是不允许的扩展名。");
    
67.         }
    
68. 
    
69.         //移动文件   
    
70.         //未重命名 虽然过滤了 后缀   iis 6解析漏洞 ^ _ ^
    
71.         if (move_uploaded_file($tmp_name, $file_path) === false) {
    
72.                 alert("上传文件失败。");
    
73.         }
    
74.         
    
75.         @chmod($file_path,0666);
    
76. 
    
77.         
    
78. ?>

复制代码

iis 6.0 可getshell
抓包改包 filename 改为  xx.php;111.jpg 即可突破

apache 版本magic_quotes_gpc = off情况下可以考虑 0 截断 绕过

由于后台 写入配置文件、创建页面 都插入到数据库...
未找到一个通杀拿shell办法

有兴趣的可以研究下