漏洞分析之——顺瓜摸藤（ZZZCMS getshell ）

近日在PacketStorm看到一个关于国产cms的cve，

cve描述

再看看packetstormsecurity上关于exploit的介绍

如果有升级补丁参照看一下，这个漏洞就很明朗了。

然而官网上最新版本只是2019-1-28更新的1.6.1

这个1.6.1版本，正是存在漏洞的版本。

之前完全没有听说过这个cms，这个漏洞又有cve。决定拿来和大家分享下，看看怎么顺瓜摸藤。

首先先看下inc/zzz_template.php中的parserIfLabel方法

parserIfLabel方法只在两处被调用

先看位于第2238行的第二处调用

这处在parserIfLabel方法自身内部，递归调用来解析嵌套。此处虽然调用了parserIfLabel方法，但是并不处于parserIfLabel方法的调用链的上层，因此排除。

再看第一处：位于23行这处

parserCommom方法调用parserIfLabel方法并将$zcontent传入其中。

这四处parserCommom分别位于四个ifelse条件中。

先看第二处，这里elseif中的条件最短，为 $conf['iscache']==1

只要$conf['iscache']==1，就可以顺利的进入这个条件分支，parserCommom就能有机会被调用

查看配置文件，此处默认为0

但是由于漏洞介绍，这是个后台漏洞，那默认我们可以有后台的操作权限

于是我在后台管理那把缓存开启了

现在zzz_config.php中

可见iscache现在为1了。

2、由于此处执行点位于zzz_client.php中，而zzz_client.php文件中没有定义任何函数，代码逐行执行，一马平川。可以看下图感受下

首先要找zzz_client.php被加载的地方

看起来这四处都可以加载zzz_client.php

我们首先选主入口index.php

不出意外，直接执行到该条件分支内

此时传入load_file方法中$tplfile值为

C:/wamp64/www/analysis/zzzphp/template/pc/cn2016/html/index.html

加载的是index.html模板

找到后台编辑模板处

编辑index.html,插入payload

不出所料，成功执行

此时传入eval中的$ifstr值是phpinfo()

但是需要注意的是 如下图

当cachefile在第一次执行create_file后，就会被成功创建

下一次再进入elseif($conf['iscache']==1)分支后,

由于

这个if条件检测cachefile存在并且更改时间晚于tplfie(index.html),不满足此条件分支，不会再次调用$parser->parserCommom($zcontent)的。