phpcms down.php 漏洞,phpcms v9.6.1任意文件下载漏洞分析及EXP

最新推荐文章于 2024-05-17 04:59:35 发布
最新推荐文章于 2024-05-17 04:59:35 发布
阅读量562 收藏
点赞数
文章标签: phpcms down.php 漏洞

阅读:

7,963

之前PHPCMS V9.6.0被爆出来一波SQL注入个getshell的漏洞,官方修复了(典型的指哪修哪)并且发布了V9.6.1。但是并没有修复完全,又被搞出来一个任意文件下载的漏洞,此漏洞Payload同样可以绕过WAF检测。

漏洞分析

这个漏洞的套路跟之前的那个SQL注入漏洞一样。

这次我们顺着来看这个漏洞产生的过程。

漏洞触发点在文件/phpcms/modules/content/down.php,来看init函数:

6ce7c479127e57361302e55338fdc694.png

通过GET获取到$a_k参数内容,然后$a_k参数内容进入到sys_auth函数进行解密,说明我们传入的$a_k是提前已经加密的内容了,这里我们不用关系他到底是怎么解密的。

我们继续看parse_str($a_k);,这里的parse_str函数有一个Trick:

Parse_str函数会自动对传入的值将其根据&分割,然后解析到具体变量并注册变量,并且对内容进行URL解码操作。

比如我们我们传入字符串’id=123%27%20and%201=1%23’,经过parse_str函数后就变成了id=123’ and 1=1#,就是id变量的内容为123’ and 1=1#。

继续往下看有一个$f变量且不能为空,这里正好通过parse_str处理后注册了$f变量,说明$f变量的内容使我们可控的。

继续到下面:

e55eff5cfe699cacb0a4abcb9d8cfaa8.png

这里判断你的$f是不是有那一堆非法的后缀,或者使用’:\’,或者使用’..’,只要匹配到其中一种就是非法的。

然后在判断是不是外链文件http://或者ftp://,或者未使用’://’,系统生成一个$pc_auth_key,以这个$pc_auth_key为auth_key加密一个拼接了各种参数的url,上面的变量$f也在里面,然后生成一个$downurl,也就是下载文件的链接。

这里我们跟进这个下载文件的地方,/phpcms/modules/content/down.php,download函数:

e2b4e2a2c9d09ab0f631e85e0ff86e2a.png

这列将GET获取的$a_k变量的内容进行解密,解密时使用$pc_auth_key为auth_key,跟上面在init函数里面加密使用的同一个auth_key,这里加密解密就对应起来了。

然后变量$a_k通过一次safe_replace函数处理,再次通过parse_str函数处理。

我们继续往下看:

2aae1efd92b8448e0c12a539bd9be226.png

这列继续对$f变量进行后缀和特殊字符的判断。

然后将$s和$f拼接起来,再来判断fileurl的后缀。

如果fileurl是远程文件就直接跳转了,如果不是就继续else里面的处理。

首先获取文件后缀,然后加上一个日期为文件名,最后将fileurl中的’’替换为空。

最后将fileurl既文件路径,和filename既文件名传入到file_down函数进行下载。

6e6cc068b0bf32feeeae555de47ffc77.png

这里只是一个简单的下载,没有任何处理。

所以一路走下来,我们可控的参数进入到了fileurl既文件路径和filename既文件名里面。

大家可以看到在文件路径里面判断了很多次要下载的文件后缀,不能下载php等文件,但是注意到上面以一个替换操作:将fileurl中的’’替换为空。

问题就在这里了,如果我们输入一个ph,一个>p,然后相加就是ph>p,经过替换后就变成了php,而在这个过程中,正好有$s和$f拼接的过程:$s=’test.ph‘ + $f=’>p’ = $fileurl=’test.ph>p’,最后替换后就成了个 $fileurl=’test.php’

问题已经清楚了,剩下的就是我们需要来构造一个$a_k,这里构造$a_k的值跟上一个SQL注入漏洞是一个套路,可以参考SQL注入漏洞的分析和构造过程。

在文件/phpcms/modules/wap/index.php中获取cookie的值;

在文件/phpcms/modules/attachment/attachments.php中,利用swfupload_json函数获取att_json的值;

这里att_json的值就是我们要的$a_k变量的构造内容。

注意这里一共通过了三次safe_replace函数,swfupload_json一次,init一次,download一次,所以我们在构造下载文件内容是需要绕过这个swfupload_json函数的三次过滤。

重点关注$fileurl = trim($s).trim($fileurl);这个以后的处理。

我们构造:$s= ./phpcms/modules/content/down.ph

$f= p%3%25252%2*70C(经过三次过滤后就成了个p>)

最后进入下载的文件文件就是./phpcms/modules/content/down.php

漏洞利用

获取到这里的cookie:

KhLUs_siteid=923aWILP69vS49T0lonOkl-ZEWFgBRxEdmRHCEUx

然后将设置第二步的cookie:

KhLUs_userid=923aWILP69vS49T0lonOkl-ZEWFgBRxEdmRHCEUx

带上这个cookie访问:

上面标红的那一段为我们构造的payload,这里已下载./phpcms/modules/content/down.php为例子。

此时得到cookie:KhLUs_att_json=61e9eXUqfQxngqteoYM_CiVo0b51zzeCuE5_VHIyoP3YykqDHLFO6HPa55Ir_qB1SMFU-P6X_

6JXFspt3hyZrFMXgnV1Lo7J9PZmuTF54mglNf46wgQgyR2UfppuKTdmL_MzqcUtJ5i84JGYpjtefbuiHFoXdwCdIa

27T9CX53r7tnnmeDyQc-G4Fmnazj_9ZA

第三步我们将cookie,KhLUs_att_json的值付给a_k参数:

最后得到下载文件的url:

访问下载的url既可以下载./phpcms/modules/content/down.php文件。

漏洞利用脚本请见附件中的exp。

漏洞修复

这个漏洞主要是因为down类中download方法在进入file_down函数前有替换操作,这样在前面就可以将””带入到download中的f参数中绕过正则匹配。

官方发布了9.6.2版本,5月3日出了补丁,补丁地址:

来看一下补丁的修复情况:

c2efa3cde5bb6041f1598e1add239133.png

这里只是在进行了str_replace后再次正则匹配一下$fileurl参数的内容最后放入file_down函数中执行。

所以请升级到最新版。

如果您需要了解更多内容,可以

加入QQ群:570982169

直接询问:010-68438880

西江月 xiyue手绘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHPCMS v9.6.1 简体中文 UTF-8 正式版
12-01
PHPCMS简介 PHPCMS采用PHP5+MYSQL做为技术基础进行开发。PHPCMS V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的
phpcmsv9.0任意文件上传漏洞解析
01-19
POST /phpcms_v9.6.0_UTF8/install_package/index.php?m=member&c=index&a=register&siteid=1 HTTP/1.1 Host: 192.168.0.109 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:81.0) Gecko/20100101 Fire...
PHPcms V9 任意文件上传漏洞_phpcmsv9漏洞
最新发布
2401_85011876的博客
05-17 760
漏洞爆出来的时间是2017年4月份左右,时间比较长了,存在任意文件长传,漏洞利用比较简单,危害很大,可以直接前台getshell。
PHPCMS V9 任意文件下载(Windows)
aixuan9365的博客
05-20 315
先来看看PHPCMS V9.6.0的任意下载 还是和上次的注入一样,是个由parse_str() 函数引发的变量覆盖。 位于 /phpv9.6.0/phpcms/modules/content/down.php 的init() 函数 第11-82行 先是获取$a_k = trim($_GET['a_k']); 跟注入分析的时候一样就不多bb了, ...
3-PHP代码审计——PHPCMSV9.6.1文件下载漏洞
网络安全
04-01 660
PHPCMSV9.6.0 wap模块文件读取下载漏洞 漏洞环境:PHPCMSV9.6.1 实验环境的poc //第一步 /index.php?m=wap&c=index&siteid=1 mVmvH_siteid=b9313B7iFIpTYF0heA62UWKP5sOMSqmM8UR5ZIgY //第二步 /index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=pa.
linux phpcms,PHPCMS任意文件下载exp编写
weixin_31185473的博客
05-25 175
导读学习编写漏洞利用exp,其实原理很简单,就是模拟人工操作。利用代码将漏洞步骤一步步展现出来,今天我们就来和大家一起学习如何编写你自己的exp实验工具:firefox,burp,phpcms9.6.0实验语言:Python3.4实验环境:php+mysql+apache首先我们先来看看今天的phpcms任意文件下载漏洞复现步骤这里可以建议大家去看下phpcms任意文件下载代码审计的思路流程。然后...
PHPCMS v9.6.1 简体中文 GBK正式版
12-01
PHPCMS简介 PHPCMS采用PHP5+MYSQL做为技术基础进行开发。PHPCMS V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的
phpcmsV9.6.3升级补丁漏洞修复代码功能二次开发补丁phpcms网站开发教程文档手册
03-18
本压缩包包括多年积累的phpcms网站开发升级补丁,漏洞修复补丁。 其中包括教程文档: 后台安装过程中报错 弹出新窗口而不是新选项卡 浏览器不支持缩略图flash上传改H5 表单发送的邮件不显示表单内容 升级后台编辑器-...
PHPCMS V9数据库配置文件database.php位置在哪
09-29
初次用PHPCMS V9的朋友可能找不到数据库配置文件,其实在官方的wiki中已经介绍了。那就是 cachesconfigsdatabase.php 文件,下面为大家介绍这个文件中相关值的具体修改方法
php cms下载地址,PHPCMS v9.6.1 GBK
weixin_29444613的博客
03-11 190
PHPCMS v9.6.1 GBK更新日志修复mysqli链接异地多数据库的bug;修复sql注入,getshell等漏洞PHPCMS简介PHPCMS采用PHP5+MYSQL做为技术基础进行开发。PHPCMS V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。PHPCMS V9在保留200...
phpcms v9.6.0版本
09-09
phpcms v9.6.0版本 注册处存在一个前台getshell的漏洞,特地保留这个版本,分享给大家学习使用。 phpcms是一个比较流行的cms.
download.php漏洞,TEC-004-php文件下载任意文件读取漏洞修复
weixin_34254083的博客
03-11 293
修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwdfunction download() {$u =$_GET['u'];// 描述: 任意文件读取漏洞修复 date: 2017年4月28日 下午4:13:39 bylwy$lenth=strrpos($u,'.')...
PHPCMSv9.6.1任意文件读取漏洞的挖掘和分析过程
weixin_34187862的博客
05-03 1095
看到网上说出了这么一个漏洞,所以抽空分析了下,得出本篇分析。 1.准备工作&漏洞关键点快速扫描 1.1前置知识 这里把本次分析中需要掌握的知识梳理了下: php原生parse_str方法,会自动进行一次urldecode,第二个参数为空,则执行类似extract操作。 原生empty方法,对字符串""返回true。 phpcms...
PHPCMS任意文件下载exp编写
蚁景网安学院
07-02 229
前言学习编写漏洞利用exp,其实原理很简单,就是模拟人工操作。利用代码将漏洞步骤一步步展现出来,今天我们就来和大家一起学习如何编写你自己的exp实验工具:firefox,burp,php...
phpcms文件下载的页面
weixin_44415928的博客
02-23 586
前边我们总结了单页面和新闻列表页的制作以及轮播图的制作,下面我们来说一个网站十分重要的内容,那就是下载页面。制作过程和前边的无异。我们新建一个栏目 我们选择添加栏目,选择下载模型 栏目列表页模板好选择,就是内容页不好搞啊,我们还要新建一个showDownload.html来作为下载页的模板 如下,catid就是下载栏目的ID,这里的{$v[fileurl]}和{$v[fielname]}表示的...
php任意下载文件漏洞,代码审计之任意文件下载漏洞案例分享
weixin_39865204的博客
03-27 613
原标题:代码审计之任意文件下载漏洞案例分享*本文原创作者:davichi8282,属于FreeBuf漏洞奖励计划,未经许可禁止转载0×00概述继上次审计HDWiki之后,最近拿到一套新的源码Ear_Music_20180510_UTF8最新版进行审计,发现这套cms还是比较安全的,而当我审计遇到一处下载点的时候发现存在安全问题,也就是任意文件下载漏洞任意文件下载漏洞php最常见的函数就是read...
php 打开任意文件,phpcmsv9.6.1 任意文件读取漏洞
weixin_35056594的博客
03-25 783
phpcms v9.6.1 爆出的任意文件读取漏洞, 来一起分析以下,这次漏洞可以说和9.6.0爆出来的sqli注入漏洞有一些联系,漏洞文件和漏洞利用方法都是一样的,只是这次漏洞点在down.php的download函数我们定位到漏洞函数/phpcms/modules/content/down.php Line 103-127public function download() {$a_k = t...
python学习之phpcms exp编写
cxk
05-28 464
python学习之phpcms exp编写 针对phpcms v9.6 前台注册getshell exp编写,漏洞分析请查看网上分析,不再赘述。 # -*- coding:utf-8 -*- import re import string import requests import random import time def getshell(host): try: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值