RT.
下载地址 http://bbs.qibosoft.com/down2.php?v=download1.0#down
0x01 老问题
在download/inc/job/down_encode.php中
厂商对上次我爆的那个洞做了修补
eregi("($webdb[upfileType])$",$url 白名单验证。
但是在download/inc/down_encode.php 中
却没有做白名单验证 只是黑名单验证是否含有.php 按照上次发的那个可以绕过。
然后这个涉及到了个入库出库 然后在发布软件的时候图片地址写要下载的就行了
绕过黑名单参照这个。及剩下的参照下面这个 我就不多说了。
WooYun: qibocmsV7整站系统任意文件下载导致无限制注入多处(可提升自己为管理 Demo演示)
____________________________________________________________________
0x02 注入
在全局文件中
这里调用了这个函数来对get post cookie来转义 如果gpc off的话 就addslashes对数组中的value进行转义 这里没有对数组中的key进行过滤。
在download/member/post.php中
这个只要是你自己发布的就有权限了。 所以我们自己先发布一个。
这里把数组中的key循环出来后 没有做任何的过滤就带入到了查询当中
造成了注入。