Zzzcms_1.75_后台任意文件读取-棉花糖会员站

# Zzzcms 1.75 后台任意文件读取

============================

一、漏洞简介
————

– 管理员权限

– 后台管理目录

– 后台数据库为mysql

二、漏洞影响
————

Zzzcms 1.75

三、复现过程
————

### 任意文件读取（一）

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId25.png)

首先来看防护规则，不允许出现./

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId26.png)

看 safe\_path 只能是upload template runtime路径下的

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId27.png)

所以构造/runtime/..\\config/zzz\_config.php 即可绕过防护

### 任意文件读取（二）

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId29.png)

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId30.png)

首先来看restore函数，mysql数据库，发现path是可控的，看955行，跟进到load\_file函数

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId31.png)

在zzz\_file.php文件中，如果存在该path,则通过file\_get\_contents读取

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId32.png)

然后现在的想法是如何输入出来，跟进到db\_exec()函数

在zzz\_db.php中，看str\_log把sql语句写入到了log中

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId33.png)

在zzz.file.php中，跟进到str\_log文件，看到文件的命名规则，

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId34.png)

文件命名规则为当天时间的时间戳+数据库用户+数据库密码，并且是未授权访问

![](/static/qingy/Zzzcms_1.75_后台任意文件读取/img/rId35.shtml)

文章版权归作者所有，未经允许请勿转载。

THE END

国内漏洞库

Zzzcms_1.75_后台任意文件读取

请登录后发表评论

1元宵节快乐某星球漏洞库&完整文章&附件下载第一弹

2谷歌插件-ChromeDomainInfo内部版-增加企业信息查询

3goby红队版poc 截止 25年2月8日

4某星球内部工具eyesec-快速且准确筛选真实IP并整理为C段

5【投稿】会员站内网靶场1、2、3、4、7WP

61039家校通 StuSQPS.ashx 存在用户信息泄露