lib目录中前两个文件夹分别存放的是后台和前台的掌握器。
inc文件夹供应一些必要的支撑,数据库的操作,以及掌握器的基类,模板渲染类。
所有的掌握器都继续于 act 类。同时他还给所有数据库的表,设计了相对应的操作,位于table文件夹下,此文件夹下的类也都继续于 table类。
tool文件夹存放一些小工具,自定义函数,waf之类的,运用调度,也是在此文件夹处理。
连续跟进入口文件。
实例化了 front工具,并调用 dispatch 方法。
他的布局方法便是获取对应的参数,
同时对所有的要求进行转义和html实体的处理。
这里有对应的掌握器和操作。
这两个静态变量,在 dispatch 方法 中,用于实例化掌握器,并调用方法。
前台sql注入
在 crossall_act.php 中存在 execsql_action 方法
接管一个get要求的 sql参数,然后进行一个解码的操作
但此文件还同样供应了加密的函数,都不须要逆向他的算法,直策应用其加密sql语句。
我们可以利用此函数加密 sql语句,末了实行我们的sql语句
实行一个sql查询。
后台RCE一
在language_admin.php 中,有add_action方法,这个方法用于给措辞文件添加规则,
当id是1时,措辞包是中文措辞包,由于hackbar 没办法提交submit参数 ,我这里直接改成了 submi。
system_custom.php文件中有空数组,用他来进行考试测验。
插入新定义的键值对,且文件名和插入内容都是可以掌握的,由于对表单数据存在waf,被转义的和转成html实体,无法对原文件造成危险。
$content=str_replace(');',"\n".$replace.');',$content);
把稳这句话,他插入键值对的逻辑便是讲文件中的 );更换为 换行符 加上
,再补上); 。
他的想法是没错的,但我以为不应该,万一字符里有了问题 ); 呢。
把); 去掉,再插一条。
报错是好事情,解释里面可以做文章。由于 此php文件 是直接 return 一个数组的,没办法直接在数组表面写东西的,这些是语法问题。
php的数组比较随意的。
不雅观察上面的缺点,是由于先前 拼接的 ); 导致中间跳出了一个单引号,剩下的就好办了,合营 , 和 / 办理后面的问题。
成功拼接。
二
在update_admin.php 中存在 downfile_action 操作,存在可控url参数,
导致我们可以从任意做事器下载压缩文件,
并且,压缩文件中可以写入 upgrade/upgrade.sql ,sql注入,对数据库信息造成毁坏。
还可以写入木马文件。
成功写入。
末了
想学技能自己挖洞的朋友,可以关注私我,学习网络安全
【网络安全学习攻略】
