zzzphp V1.6.1 远程代码执行漏洞分析报告

漏洞概述

zzzphp CMS V1.6.1版本存在一个严重的远程代码执行漏洞，该漏洞源于系统对模块中的PHP代码过滤不严谨，导致攻击者可以在后台写入恶意PHP代码并执行。

漏洞产生原因

该漏洞的主要原因是zzzphp CMS在解析模板时对模块的PHP代码过滤不严格，特别是在处理IF语句时，最终将用户可控的输入传递给了eval()函数执行，导致了远程代码执行漏洞。

详细分析

漏洞触发流程

1. 系统在处理搜索功能时，首先加载/search/index.php
2. 该文件包含/inc/zzz_client.php
3. 在zzz_client.php中，系统通过ParsetTemplate类解析模板
4. 解析过程中，zzz_template.php中的parserIfLabel方法处理IF语句
5. 最终将过滤后的输入传递给eval()函数执行

关键代码分析

在zzz_template.php文件中存在以下关键代码：

$zcontent = $this->parserIfLabel($zcontent); // IF语句处理

parserIfLabel方法的实现中，存在以下问题：

1. 对IF语句内容($ifstr)进行一系列过滤处理
2. 最终将处理后的内容传递给eval()函数执行
3. 缺乏对用户输入的严格验证和过滤

漏洞利用方法

利用步骤

1. 获取后台权限：首先需要获取zzzphp CMS的后台管理权限
2. 定位目标模块：进入后台的模块管理，找到"电脑模块"中的cn2016模块
3. 修改模板文件：在cn2016模块中找到search.html文件
4. 注入恶意代码：将模板代码修改为以下内容：

{if:assert($_request[phpinfo()])}phpinfo();{end if}

5. 触发漏洞：访问http://目标网站/zzzcms/search/即可执行注入的PHP代码

利用效果

成功利用该漏洞后，攻击者可以：

• 执行任意PHP代码
• 获取服务器敏感信息
• 控制整个网站服务器

修复建议

1. 输入验证：对所有用户输入进行严格验证和过滤
2. 禁用危险函数：禁用eval()、assert()等危险函数
3. 权限控制：加强后台管理权限控制
4. 代码审计：对模板解析逻辑进行安全审计
5. 更新版本：升级到最新版本，官方可能已修复该漏洞

总结

zzzphp V1.6.1的远程代码执行漏洞是一个高危漏洞，攻击者可以通过后台注入恶意代码实现服务器控制。开发人员应重视模板解析过程中的安全性，避免直接将用户输入传递给可执行函数。系统管理员应及时更新补丁或采取临时防护措施。

参考

• 漏洞发现时间：2019年3月23日
• 漏洞作者：此生已尽我温柔
• 漏洞影响：zzzphp CMS V1.6.1及可能更早版本