FoxCMS v1.2.5 漏洞分析与利用指南<\/h1>

1. 系统概述<\/h2>

FoxCMS是一套可免费商用的开源内容管理系统，采用PHP+MySQL架构。主要特点包括：<\/p>

内置企业常用内容模型（单页、文章、产品、图集、视频、反馈、下载等）<\/li>
丰富的模板标签及强大的SEO和伪静态优化机制<\/li>
支持多语言、表单设计、访客统计、消息通知、云存储服务<\/li>

无需复杂编程技能，仅需掌握HTML即可快速构建应用<\/li> <\/ul>

源码地址：https:\/\/gitee.com\/qianfox\/foxcms<\/p>

2. 代码注入漏洞（RCE）<\/h2>

2.1 漏洞位置<\/h3>

控制器文件：app\admin\controller\Config.php<\/code><\/li>
漏洞函数：save()<\/code><\/li>

关键函数：set_php_arr<\/code>（将变量值拼接写入php文件）<\/li>
<\/ul>
2.2 漏洞分析<\/h3>

save()<\/code>函数接收的参数完全可控<\/li>
通过set_php_arr<\/code>函数将参数值直接拼接写入PHP文件<\/li>
写入的文件路径：config\cfg\base.php<\/code><\/li>
由于index.php<\/code>包含了config\cfg\base.php<\/code>，写入的代码会被执行<\/li>
<\/ol>
2.3 漏洞利用步骤<\/h3>

登录后台，进入"站点基本设置"<\/li>
点击保存并抓包<\/li>
修改参数copyright_remove_mark<\/code>为恶意代码，例如：
";phpinfo();\/\/
<\/span><\/span><\/span><\/code><\/pre><\/li>
访问首页index.php<\/code>，代码将被执行<\/li>
<\/ol>
2.4 危害<\/h3>

任意代码执行<\/li>
可反弹shell获取服务器权限<\/li>
完全控制服务器<\/li>
<\/ul>
3. SSRF漏洞（服务器端请求伪造）<\/h2>
3.1 漏洞位置<\/h3>

控制器文件：app\admin\controller\PicManager.php<\/code><\/li>
关键方法：getImg()<\/code> -> download()<\/code> -> get_url_content()<\/code><\/li>
<\/ul>
3.2 漏洞分析<\/h3>

download()<\/code>方法的url<\/code>参数完全可控<\/li>
通过get_url_content<\/code>方法直接使用cURL请求URL<\/li>
文件名从URL获取，无任何过滤<\/li>
文件内容通过file_put_contents<\/code>写入uploads\/date("Ymd")\/<\/code>目录<\/li>
虽然上传时有白名单检查，但SSRF请求已经完成<\/li>
<\/ol>
3.3 漏洞利用<\/h3>
3.3.1 攻击内网服务<\/h4>

构造恶意URL指向内网服务<\/li>
在"公司简介"->"添加图片"->"选择网络图提取"<\/li>
提交恶意URL，如：http:\/\/内网IP\/2.php<\/code>（2.php包含恶意代码）<\/li>
<\/ol>
3.3.2 读取任意文件<\/h4>

使用file:\/\/<\/code>伪协议<\/li>
构造URL如：file:\/\/\/etc\/passwd<\/code><\/li>
文件内容将被写入上传目录<\/li>
<\/ol>
3.4 危害<\/h3>

读取服务器任意文件<\/li>
扫描内网端口和服务<\/li>
攻击内网应用<\/li>
结合其他漏洞实现更复杂的攻击<\/li>
<\/ul>
4. 文件上传漏洞（XSS）<\/h2>
4.1 漏洞位置<\/h3>

文件上传功能<\/li>
关键检查函数：validationSuffix<\/code><\/li>
<\/ul>
4.2 漏洞分析<\/h3>

系统使用白名单检查文件后缀<\/li>
允许上传.svg<\/code>文件<\/li>
未检查文件内容，导致可上传恶意SVG文件<\/li>
<\/ol>
4.3 漏洞利用<\/h3>

制作恶意SVG文件，包含XSS代码，例如：
<svg<\/span> xmlns=<\/span>"http:\/\/www.w3.org\/2000\/svg"<\/span> onload=<\/span>"alert(1)"<\/span>\/><\/span>
<\/span><\/span><\/code><\/pre><\/li>
登录后台，上传SVG文件<\/li>
访问该文件时触发XSS<\/li>
<\/ol>
4.4 危害<\/h3>

存储型XSS攻击<\/li>
窃取管理员cookie<\/li>
进行钓鱼攻击<\/li>
结合其他漏洞提升攻击效果<\/li>
<\/ul>
5. 漏洞修复建议<\/h2>


代码注入漏洞修复<\/strong>：<\/p>

对写入PHP文件的内容进行严格过滤<\/li>
避免直接将用户输入拼接进PHP文件<\/li>
使用序列化或JSON格式存储配置<\/li>
<\/ul>
<\/li>

SSRF漏洞修复<\/strong>：<\/p>

限制URL协议（禁用file:\/\/等危险协议）<\/li>
实现URL白名单机制<\/li>
对下载的文件内容进行严格检查<\/li>
<\/ul>
<\/li>

文件上传漏洞修复<\/strong>：<\/p>

对SVG文件内容进行检查<\/li>
实现内容安全策略(CSP)<\/li>
对上传文件设置更严格的白名单<\/li>
<\/ul>
<\/li>

通用建议：<\/p>

及时更新到最新版本<\/li>
最小权限原则运行服务<\/li>
定期进行安全审计<\/li>
<\/ul>
<\/li>
<\/ol>
6. 总结<\/h2>
FoxCMS v1.2.5存在多个高危漏洞，攻击者可利用这些漏洞实现：<\/p>

通过代码注入获取服务器完全控制权<\/li>
利用SSRF探测和攻击内网<\/li>
通过恶意文件上传实施XSS攻击<\/li>
<\/ul>
这些漏洞的组合利用可造成严重后果，建议用户立即采取防护措施或升级到修复版本。<\/p>