PHPCMS V9 版本后台设计缺陷导致任意代码执行漏洞

基本字段

漏洞编号：: SSV-92422

披露/发现时间：: 未知

提交时间：: 2016-09-18

漏洞等级：

漏洞类别：: 代码执行

影响组件：: phpcms
(=V9)

漏洞作者：: HackBraid

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0KB

来源链接：http://www.cnbraid.com/ ### 0x01 背景由于默认安装后需要超级管理员权限，故该漏洞很鸡肋，但感觉应该会在其它cms中也存在，所以主要分享下挖掘思路~ PS：使用的测试环境是php5.6(已经移除gpc选项) ![](http://7xk8bu.com1.z0.glb.clouddn.com/pshell.jpg) ### 0x02 漏洞分析漏洞起源： yoursite\phpsso_server\phpcms\modules\admin\system.php下的uc函数： ``` <?php public function uc() { if (isset($_POST['dosubmit'])) { $data = isset($_POST['data']) ? $_POST['data'] : ''; $data['ucuse'] = isset($_POST['ucuse']) && intval($_POST['ucuse']) ? intval($_POST['ucuse']) : 0; $filepath = CACHE_PATH.'configs'.DIRECTORY_SEPARATOR.'system.php'; $config = include $filepath; $uc_config = '<?php '."\ndefine('UC_CONNECT', 'mysql');\n"; foreach ($data as $k => $v) { $old[] = "'$k'=>'".(isset($config[$k]) ? $config[$k] : $v)."',"; $new[] = "'$k'=>'$v',"; $uc_config .= "define('".strtoupper($k)."', '$v');\n"; } $html = file_get_contents($filepath); $html = str_replace($old, $new, $html); $uc_config_filepath = CACHE_PATH.'configs'.DIRECTORY_SEPARATOR.'uc_config.php'; @file_put_contents($uc_config_filepath, $uc_config); @file_put_contents($filepath, $html); $this->db->insert(array('name'=>'ucenter', 'data'=>array2string($data)), 1,1); showmessage(L('operation_success'), HTTP_REFERER); } $data = array(); $r = $this->db->get_one(array('name'=>'ucenter')); if ($r) { $data = string2array($r['data']); } include $this->admin_tpl('system_uc'); } ... ``` 将表单中的数据$data按照键值对遍历并以如下形式存储到$uc_config变量里： ``` $uc_config .= "define('".strtoupper($k)."', '$v');\n"; ``` 上面只是对$k变量进行了字母转大写处理，然后就写到`yoursite\phpsso_server\caches\configs\uc_config.php`中了，所以这里应该可以构造一句话木马写入到uc_config.php中，从而拿到webshell。 ### 0x03 漏洞证明通过观察uc_config.php，我们构造一句话木马的方法如下（审查元素或者代理改包均可）： ![](http://7xk8bu.com1.z0.glb.clouddn.com/pshell.jpg) 获取shell ![](http://7xk8bu.com1.z0.glb.clouddn.com/pshell1.jpg) 本文由HackBraid整理总结，原文链接：http://www.cnbraid.com/

共 0 兑换了

PoC (pocsuite 插件) (pocsuite3 插件)

贡献者 Rsysm 共获得 0KB

登陆后兑换查看

共 0 兑换

参考链接

http://www.cnbraid.com/2016/09/14/phpcms/

解决方案

临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

PHPCMS V9 版本后台设计缺陷导致任意代码执行漏洞

基本字段

来源

漏洞详情

PoC (pocsuite 插件) (pocsuite3 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

全部评论 (1)

PHPCMS V9 版本后台设计缺陷导致任意代码执行漏洞

基本字段

来源

漏洞详情

PoC (pocsuite 插件) (pocsuite3 插件)

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

全部评论 (1)

您好，

您好，

评论前需绑定手机现在绑定