VULHUB ™

### 简要描述： @/fd牛在drops丢了一篇关于上传问题的文章，http://drops.wooyun.org/tips/2031 关于这篇文章的一些细节在@/fd牛发表之前刚好跟@Mramydnei M哥聊过一些 M哥表示wb已经足够ipad了所以就把这个机会让给了我，我就献丑找个通用型的cms来一发 ps:这个问题的根源出在上传逻辑上，所以类型选了文件上传 ps:感谢@Mramydnei ### 详细说明： 这个问题对没有检查上传文件头，没有写好crossdomain.xml的站点来说危害很大 待会儿再发一个没处理好crossdomain.xml导致问题的样例 时间关系没有挖后台getshell的地方 所以就用csrf添加管理员来演示 phpyun上传功能（只拿个人中心-》照片管理功能上传测试）未检测上传文件的实际文件格式，只对后缀做了检查。可以上传一个.jpg后缀的swf文件。 通过swf中的as来执行post get等操作，相当于一个本域的存储型XSS了。 具体操作如下 ### 漏洞证明： 1、先抓取phpyun后台添加管理员的包，提取参数和地址。然后新建一个flash文件，添加post的as脚本，参数可写死也可后期用flashvar在调用的时候写，我这里写死在as里了。如图 [<img src="https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg" alt="13.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg) 2、编译成swf然后改后缀为.jpg，然后通过个人中心的上传形象照功能上传到服务器 [<img src="https://images.seebug.org/upload/201405/221411306fbbc7d286e967d7577f6e36ae9c9d68.jpg" alt="14.jpg" width="600"...

### 简要描述： @/fd牛在drops丢了一篇关于上传问题的文章，http://drops.wooyun.org/tips/2031 关于这篇文章的一些细节在@/fd牛发表之前刚好跟@Mramydnei M哥聊过一些 M哥表示wb已经足够ipad了所以就把这个机会让给了我，我就献丑找个通用型的cms来一发 ps:这个问题的根源出在上传逻辑上，所以类型选了文件上传 ps:感谢@Mramydnei ### 详细说明： 这个问题对没有检查上传文件头，没有写好crossdomain.xml的站点来说危害很大 待会儿再发一个没处理好crossdomain.xml导致问题的样例 时间关系没有挖后台getshell的地方 所以就用csrf添加管理员来演示 phpyun上传功能（只拿个人中心-》照片管理功能上传测试）未检测上传文件的实际文件格式，只对后缀做了检查。可以上传一个.jpg后缀的swf文件。 通过swf中的as来执行post get等操作，相当于一个本域的存储型XSS了。 具体操作如下 ### 漏洞证明： 1、先抓取phpyun后台添加管理员的包，提取参数和地址。然后新建一个flash文件，添加post的as脚本，参数可写死也可后期用flashvar在调用的时候写，我这里写死在as里了。如图 [<img src="https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg" alt="13.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221409576d5b19cf61afab3094fe0318a0c423dd.jpg) 2、编译成swf然后改后缀为.jpg，然后通过个人中心的上传形象照功能上传到服务器 [<img src="https://images.seebug.org/upload/201405/221411306fbbc7d286e967d7577f6e36ae9c9d68.jpg" alt="14.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221411306fbbc7d286e967d7577f6e36ae9c9d68.jpg) 3、在别的地方（任何域哦，只要你可控）构造一个页面，插入刚才上传的jpg(实际为swf)的地址 allowscriptaccess要为always。 [<img src="https://images.seebug.org/upload/201405/221416163f148ce4f01acf6ac0f19a37344f4fa3.jpg" alt="15.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/221416163f148ce4f01acf6ac0f19a37344f4fa3.jpg) 4、引诱管理员（看你本事了）访问刚才那个页面，后台就多了一个超管 test:test123 [<img src="https://images.seebug.org/upload/201405/22141812b40a9c5c96706e361f7f8bfdfee6f671.jpg" alt="16.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/22141812b40a9c5c96706e361f7f8bfdfee6f671.jpg)