一次艱難的審計

?

寫在前面
又來學習了，師傅們都太卷了，我這樣的菜雞只能掙扎一下

正文
很少看大的cms，一是被大佬們挖的差不多了，基本上沒什么希望，二是能力有限，大的cms基本上就是看看別人的審計，學習一下別人的思路和技巧，自己也就找找冷門的開刀。
前臺直接跳過，從后臺看，然后這里的類似刪除、文章顯示什么的都是通過數據庫，沒看到直接訪問路徑什么的，也就沒找到目錄穿越這種問題，可能自己看得不仔細。

后臺的話，不能getshell的洞感覺都沒什么價值了，不過也有任意文件刪除，刪除install.lock配合重裝網站寫馬這種的話當我沒說。

在某cms后臺找到個上傳繞過，已提交（后來發現cnvd有人交了，但不知道是不是撞了）。
在設置-鏈接設置-偽靜態設置中apache模塊中可以設置.htaccess：

?

看到這個，打過ctf的都懂了（我沒打過），看能不能編輯這個內容繞過一波

在源碼中找到對應處：

?

發現只有一個$cfg['webdir']，往回走發現$cfg = $this->kv->xget('cfg');
看下這個$this->kv->xget('cfg');
全局搜索xget函數，發現這是個數據庫操作的相關函數：

?

那么$this->kv->xget('cfg')就是從tw_kv表中取cfg的數據：

看看能不能寫入這個值。在當前setting_control.class.php中搜索webdir：

發現index()下$this->kv->xset('webdir', R('webdir', 'P'), 'cfg');
結合前面分析，這個應該就是寫入操作，那么跟進一下R():

?

就是獲取變量值。

那么利用如下：
基本設置-所在目錄保存然后在webdir添加：

</IfModule>
<FilesMatch "jpg">
SetHandler application/x-httpd-php
</FilesMatch>
<IfModule mod_rewrite.c>

?

改完后生成.htaccess

?

?

然后在 我的-發布文章-上傳縮略圖中上傳一個內容為shell，的jpg 文件

?

然后復制圖像鏈接

去掉鏈接中的_thumb，如下：
127.0.0.1/TWCMS/upload/article/202201/30/15132861f63a98cb20085eyPl.jpg

?

這里去_thumb的原因是上傳圖片后會添加一個_thumb：

?

?

結尾
我好菜，師傅們帶帶我。。。。。。

?