day34WEB 攻防-通用漏洞文件上传黑白盒审计逻辑中间件外部引用

一，白盒审计-Finecms-代码常规-处理逻辑

黑盒思路：寻找上传点抓包修改突破获取状态码及地址

进入网站首页，注册登入，进入个人中心上传图片并抓包分析

通过抓包发现，请求数据包并没有看到图片的名称以及类型，这里猜测tk的值就是图片信息，并且进行了base64编码，这里解码tk值看看

解码发现内容和图片16进制内容有相似之处，现在将tk值的jpg替换成php，并将后面的用一句话木马进行替换，注意后面代码也要用base64编码

根据返回信息无法判断有没有上传成功，我们根据上传成功的图片路径访问.php文件看看结果

返回404错误，现在有两种可能，一就是没有上传成功，二就是上传成功但是路径不一样了，或者文件名被改了

审计流程：功能点-代码文件-代码块-抓包调试-验证测试

通过抓包获取基本路径，然后找到对应的php文件，找到对应函数进行分析

源码

 public function upload() {// 创建图片存储文件夹$dir = SYS_UPLOAD_PATH.'/member/'.$this->uid.'/';@dr_dir_delete($dir);!is_dir($dir) && dr_mkdirs($dir);if ($_POST['tx']) {$file = str_replace(' ', '+', $_POST['tx']);if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $file, $result)){$new_file = $dir.'0x0.'.$result[2];if (!@file_put_contents($new_file, base64_decode(str_replace($result[1], '', $file)))) {exit(dr_json(0, '目录权限不足或磁盘已满'));} else {$this->load->library('image_lib');$config['create_thumb'] = TRUE;$config['thumb_marker'] = '';$config['maintain_ratio'] = FALSE;$config['source_image'] = $new_file;foreach (array(30, 45, 90, 180) as $a) {$config['width'] = $config['height'] = $a;$config['new_image'] = $dir.$a.'x'.$a.'.'.$result[2];$this->image_lib->initialize($config);if (!$this->image_lib->resize()) {exit(dr_json(0, '上传错误：'.$this->image_lib->display_errors()));break;}}list($width, $height, $type, $attr) = getimagesize($dir.'45x45.'.$result[2]);!$type && exit(dr_json(0, '图片字符串不规范'));}} else {exit(dr_json(0, '图片字符串不规范'));}} else {exit(dr_json(0, '图片不存在'));}

通过对代码的阅读发现，并没有都文件进行过滤，但是将文件前缀改成了0x0,现在我们尝试将名称改为0x0再次访问

发现执行成功，说明我们刚刚上传的php文件上传成功了，只是名称被改了

二，白盒审计-CuppaCms-中间件-.htaccess

黑盒思路：存在文件管理上传改名突破，访问后在突破

审计流程：功能点-代码文件-代码块-抓包调试-验证测试

三，白盒审计-Metinfo-编辑器引用-第三方安全

黑盒思路：探针目录利用编辑器漏洞验证测试

用目录扫描器扫描发现存在fckeditor编辑器，通过版本路径获取版本，根据版本查找有没有exp