HYBBS2.3.2审计（一）

Delina

原文链接：HYBBS2.3.2审计（一）
​
HYBBS是一款支持插件扩展，模板扩展的PHP网站程序。HYBBS并不是只能用于论坛，它甚至可以用用于博客，微博，CMS，商城，等等。只要你想得到他都能做到。插件处存在任意文件写入漏洞导致代码执行http://localhost/?admin/code.html
Code-audit\HYBBS2.3.2\Action\Admin.php

​

​

插件名填入test',phpinfo(),'

​

?admin/code.htmlname=&gn=add&name=test%27%2Cphpinfo%28%29%2C%27&name2=test&user=test&mess=test
调试，一路跟进，Code-audit\HYBBS2.3.2\HY\Lib\Line.php，这里实例化了Admin类

​

调用code方法

​

​

可以看到输入的内容test',phpinfo(),'没有进行任何过滤，直接赋值给$name

​

继续往下跟进，这里在/Plugin/下创建一个新的文件夹，并将输入的内容存到conf.php

​

​

​

​

访问getshell

​

任意文件删除漏洞导致重装getshell（逻辑漏洞）​​
可以看到重装前需要删除/Conf/config.php

​

​

尝试删除Conf

​

一路跟进到C:\Day\phpStudy\WWW\Code-audit\HYBBS2.3.2\HY\Lib\Line.php，开始实例化Admin类

​

继续跟进，进入到code方法

​

因为$gn == 'del'，进入到del操作

​

可以看到deldir没有经过任何过滤，例如过滤..，../等，所以我们可以利用../../来进行目录跳转操作删除Conf下的文件

​

​

删除成功，config.php原文件被删除且重新生成空配置文件

​

​

​

访问install，加入重装界面

​

输入数据库名
hybbs",phpinfo(),"

​

​

​