phpcms2008遠程代碼執行漏洞
描述:
近日,互聯網爆出PHPCMS2008代碼注入漏洞(CVE-2018-19127)。攻擊者利用該漏洞,可在未授權的情況下實現對網站文件的寫入。該漏洞危害程度為高危(High)。目前,漏洞利用原理已公開,廠商已發布新版本修復此漏洞。
影響范圍:
PHPCMS2008 sp4及以下版本
POC github地址:
https://github.com/ab1gale/phpcms-2008-CVE-2018-19127
漏洞分析:
在type.php中:
包含/include/common.inc.php 其作用是對$_GET,$_POST等全局變量進行注冊。
extract函數大家都明白,將數組的項注冊為變量。可以對任意變量進行注冊。
在type.php第30行調用template函數
template函數定義在global.func.php
$template變量在這里是完全可控的,且默認開啟模版緩存自動刷新。當template變量輸入為template=tag_(){};@unlink(FILE);assert($_POST[1]);{//../rss時,$compiledtplfile=”data/cache_template/phpcmstag(){};@unlink(FILE);assert($_POST[1]);{//../rss.tpl.php” .此時,可自然進入判斷 ,調用template_compile函數,次函數定義在include/template.func.php
在templatecompile函數中,$template變量是我們可控的,而$content變量當我們的輸入為”template=tag(){};@unlink(FILE);assert($_POST[1]);{//../rss”自然會選擇前者,而content內容中$template變量可控,最后file_put_contents函數寫入任意代碼,需要注意的是,file_put_contents路徑為data/cache_template/phpcmstag(){};@unlink(FILE);assert($_POST[1]);
{//../rss.tpl.php時,php會將其路徑解析為data/cache_template/rss.tpl.php。
總結一下:
type.php 包含common.inc.php 任意變量注冊-》$template變量可控->template函數變量$template可控->template_compile函數變量$template可控-》file_put_contents函數由$template影響兩個參數變量可控,借助php此函數解析文件特性,將一句話寫入文件。
漏洞修復:
升級至最新版本