\api\uc.php
更新 uc_client/data/cache/badwords.php
再看
\source\module\forum\forum_ajax.php
跟踪 uc_user_checkname
默认情况下
UC_API_FUNC为 uc_api_mysql
继续跟综到
注意到
@preg_replace($_CACHE['badwords']['findpattern'], $_CACHE['badwords']['replace'], $username)
两个参数都可控,即可造成命令执行。
利用脚本,3.2后要加上 formhash + cookie 绕过xss拦截
提交后,shell地址为:
http://127.0.0.1/forum.php?mod=ajax&inajax=yes&infloat=register&handlekey=register&ajaxmenu=1&action=checkusername&username=admin