漏洞原理:
dev_linkage_launch.php 為設備聯動的新入口點主要是將聯動的接口構造成業務統一處理的接口
主要調用
跟進
可以看到 第一個檢查為 $req_url = $_SERVER['PHP_SELF'];
繞過第一個檢查:
在他們系統nginx配置文件里面:
通過nginx規則可以得知,他們沒有設置禁止外網訪問.從而可以直接訪問
/api/edr/sangforinter/v2/xxx 繞過 第一個檢查
第二檢查: 權限檢查
跟進check_access_token
這里if($md5_str == $json_token["md5"]) 引發第二個漏洞: php弱類型導致的漏洞
繞過只需要傳入一個base64編碼的json內容為 {“md5”:true}即可
至此權限檢查繞過完畢
來到 process_cssp.php 文件
存在任意指令執行漏洞.作者試圖使用escapeshellarg函數去給單引號打反斜杠實際上是毫無作用的.
繞過:{"params":"w=123\"'1234123'\"|命令"}
結果如下:
返回:
轉自:朋友圈公眾號文章