一个看似牢固的CMS,不存在什么0day,就一定会安全么?
之前在一次授权的入侵中,碰到了一例论坛,使用的是phpwind,这个CMS貌似早就被阿里巴巴收购了,从漏洞库和网上的各项漏洞情报来看,这个CMS漏洞相对来讲并不多,且版本受限很大。
目标版本为phpwind7.3.2,默认管理路径且存在弱口令,但作为一个成熟的论坛CMS,虽然拥有后台最高权限,但依然无法轻易对服务器造成威胁,所以在这里笔者选择先获取源码并进行代码审计,然而并未发现明显的可利用漏洞,参照网上的RCE和SQL注入,并未在当前版本复现。
数据备份
然而在卡壳的时候,数据库中的一张表引起了我的注意,pw_attachs:
该表记录的是论坛发帖功能附件指向存储目录下的真实文件名:
显然借助论坛前台的访问我们是无法知道它的真实文件名的,因为这里做了封装,服务端检索数据库并进行文件流输出:
#下载链接:
http://127.0.0.1:84/job.php?action=download&pid=tpc&tid=1&aid=1
简单看一下这个方法,对于download请求,服务端通过匹配tid、pid等参数查找对应文件,用来给后边的文件流输出功能提供内容。
