某CMS前台到Getshell漏洞审计与分析<\/h1>

前言<\/h2>
本文详细分析某CMS系统中存在的多个安全漏洞，包括前台变量覆盖、后台任意文件删除、文件上传漏洞等，最终通过组合利用这些漏洞实现从前台到Getshell的攻击路径。这些漏洞已提交CNVD，部分漏洞至今仍未修复。<\/p>

漏洞概述<\/h2>

该CMS系统存在以下关键漏洞：<\/p>

后台任意文件删除漏洞<\/li>
后台文件上传漏洞<\/li>
后台跨目录解压漏洞<\/li>

前台变量覆盖漏洞（可导致XSS攻击）<\/li> <\/ol>

详细漏洞分析<\/h2>

1. 后台任意文件删除漏洞<\/h3>

漏洞位置<\/strong>：***fo\/app\/system\/databack\/admin\/index.class.php<\/code> 第821~836行<\/p>

漏洞描述<\/strong>：<\/p>

$file<\/code>参数可控且未进行过滤<\/li> 可进行任意目录遍历和文件删除<\/li> <\/ul> 漏洞代码分析<\/strong>：<\/p> \/\/ 代码中$file参数未过滤直接使用 <\/span><\/span><\/span>\/\/ 允许通过..\/进行目录遍历 <\/span><\/span><\/span><\/code><\/pre>复现方法<\/strong>：构造恶意请求删除服务器上任意文件<\/p> 2. 后台文件上传漏洞<\/h3> 漏洞位置<\/strong>：upfilety.php<\/code> 第269行开始<\/p> 漏洞描述<\/strong>：<\/p> 默认上传类型为sql<\/li> 允许上传zip文件并解压<\/li> 当zip内文件非sql时仅输出提示信息而不终止上传<\/li> 可上传任意文件<\/li> <\/ul> 漏洞代码分析<\/strong>：<\/p> \/\/ 312~328行处逻辑缺陷 <\/span><\/span><\/span><\/span>if<\/span>(zip内文件非sql<\/span>){ <\/span><\/span> \/\/ 仅输出提示信息 <\/span><\/span><\/span><\/span> echo<\/span> "压缩包里的文件非sql文件"<\/span>; <\/span><\/span> \/\/ 未终止上传流程 <\/span><\/span><\/span><\/span> exit<\/span>; \/\/ 但文件已上传完成 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>特殊发现<\/strong>：开发者在代码中将"后缀"(houzhui)误写为"houzui"<\/p> 3. 后台跨目录解压漏洞<\/h3> 漏洞描述<\/strong>：<\/p> 与漏洞1、2类似<\/li> $file<\/code>参数可控且未过滤..\/<\/code><\/li> 可解压文件到任意目录<\/li> <\/ul> 利用方法<\/strong>：结合漏洞2的文件上传，可将恶意文件解压到web目录实现Getshell<\/p> 4. 前台变量覆盖漏洞<\/h3> 漏洞位置<\/strong>：<\/p> admin\/login\/login_check.php<\/code> 加载了 \/admin\/include\/common.inc.php<\/code><\/li> \/admin\/include\/common.inc.php<\/code> 存在变量覆盖问题<\/li> <\/ol> 漏洞描述<\/strong>：<\/p> 可实现变量覆盖<\/li> 可覆盖$url_array<\/code>变量<\/li> 导致XSS攻击<\/li> <\/ul> EXP示例<\/strong>：<\/p> http:\/\/127.0.0.1\/***info\/admin\/login\/login_check.php?url_array[]=123&url_array[]=123&url_array[]=aa%22+autofocus+onfocus=alert(2)+a=%0a%0ba=&url_array[]=123 <\/code><\/pre> 攻击流程<\/strong>：<\/p> 管理员正常登录后，authcode加密的值会被取出并解密<\/li> 解密后的值输出在app\/system\/safe\/admin\/templates\/index.php<\/code><\/li> 无需登录即可触发XSS<\/li> 当管理员访问后台"安全与效率"界面时自动触发XSS<\/li> 可窃取管理员Cookie<\/li> <\/ol> 组合利用攻击链<\/h2> 获取后台权限<\/strong>：<\/p> 利用前台变量覆盖漏洞触发XSS<\/li> 窃取管理员Cookie<\/li> 获得后台访问权限<\/li> <\/ul> <\/li> Getshell<\/strong>：<\/p> 利用后台任意文件删除漏洞清除障碍<\/li> 利用文件上传漏洞上传恶意zip文件<\/li> 利用跨目录解压漏洞将恶意文件解压到web目录<\/li> 最终获得服务器控制权限<\/li> <\/ul> <\/li> <\/ol> 防御建议<\/h2> 输入验证<\/strong>：<\/p> 对所有用户输入进行严格过滤<\/li> 禁止..\/<\/code>等目录遍历字符<\/li> 对文件操作参数进行白名单验证<\/li> <\/ul> <\/li> 安全编码<\/strong>：<\/p> 修复变量覆盖问题<\/li> 确保上传逻辑严谨<\/li> 解压前验证文件内容和目标路径<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 后台操作需要二次验证<\/li> 文件操作限制在特定目录<\/li> <\/ul> <\/li> 安全配置<\/strong>：<\/p> 设置合理的文件权限<\/li> 禁用危险函数<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该CMS系统存在多处严重安全漏洞，通过组合利用这些漏洞可以实现从前台到Getshell的完整攻击链。开发人员应重视安全编码规范，对所有用户输入进行严格验证，并定期进行安全审计。<\/p>