LMXCMS 任意文件删除到重装系统 getshell 组合拳教学文档<\/h1>

漏洞概述<\/h2>

本教学文档详细分析LMXCMS系统中存在的安全漏洞组合，通过三个步骤实现从任意文件删除到最终获取系统shell权限的攻击链：<\/p>

任意文件删除漏洞<\/li>
重装系统限制突破<\/li>

配置文件写入导致命令执行<\/li> <\/ol>

环境搭建要求<\/h2>

PHP版本：必须低于5.6（建议尽可能调低PHP版本）<\/li>
安装目录：\/install<\/code>和\/c\/install<\/code>（安装完成后必须删除）<\/li>

安装完成后需在后台首页删除安装目录<\/li>
<\/ul>
漏洞详细分析<\/h2>
第一步：任意文件删除漏洞<\/h3>
漏洞位置<\/strong>：后台数据备份恢复功能<\/p>
漏洞分析<\/strong>：<\/p>

后台提供数据备份和恢复功能<\/li>
在恢复数据部分存在文件删除操作<\/li>
代码直接获取文件名参数，未进行目录限制检查<\/li>
<\/ol>
攻击步骤<\/strong>：<\/p>

构造恶意文件名参数，利用目录穿越技术<\/li>
示例payload：..\/..\/install\/install.lock<\/code>（删除安装锁定文件）<\/li>
<\/ol>
关键代码<\/strong>：<\/p>
\/\/ 直接获取文件名并删除，无目录限制
<\/span><\/span><\/span><\/span>$filename =<\/span> $_GET['filename'<\/span>];
<\/span><\/span>unlink<\/span>($filename);
<\/span><\/span><\/code><\/pre>第二步：突破重装系统限制<\/h3>
漏洞原理<\/strong>：<\/p>

系统通过install.lock<\/code>文件判断是否已安装<\/li>
删除该文件后可绕过安装限制<\/li>
<\/ul>
代码分析<\/strong>：<\/p>

每次访问安装界面会调用构造函数<\/li>
构造函数检查install.lock<\/code>文件是否存在<\/li>
文件存在则弹出警告阻止再次安装<\/li>
<\/ol>
攻击利用<\/strong>：<\/p>

通过第一步漏洞删除install.lock<\/code>文件<\/li>
再次访问安装页面即可重新安装系统<\/li>
<\/ol>
第三步：控制文件内容getshell<\/h3>
漏洞位置<\/strong>：系统安装过程中的配置文件写入<\/p>
攻击步骤<\/strong>：<\/p>

在安装数据库步骤构造恶意payload<\/li>
注意：数据库名必须以_<\/code>结尾（系统限制）<\/li>
示例payload：test';phpinfo();\/\/_<\/code><\/li>
<\/ol>
代码分析<\/strong>：<\/p>

定位到index_4<\/code>方法中的updateConf<\/code>方法<\/li>
用户输入未经充分过滤直接写入配置文件<\/li>
写入内容被包含在PHP配置文件中导致代码执行<\/li>
<\/ol>
关键代码<\/strong>：<\/p>
function<\/span> updateConf<\/span>($data) {
<\/span><\/span>    $content =<\/span> "<?php<\/span>\n<\/span>return "<\/span>.<\/span>var_export<\/span>($data, true<\/span>).<\/span>";<\/span>\n<\/span>?>"<\/span>;
<\/span><\/span>    file_put_contents<\/span>('config.php'<\/span>, $content);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>完整攻击链<\/h2>

利用后台任意文件删除漏洞删除install.lock<\/code><\/li>
重新访问安装页面绕过安装限制<\/li>
在安装过程中构造恶意数据库名<\/li>
恶意代码被写入配置文件<\/li>
访问包含恶意代码的配置文件执行任意命令<\/li>
<\/ol>
防御措施<\/h2>

对所有文件操作进行严格的路径检查和过滤<\/li>
安装完成后彻底删除安装目录<\/li>
对写入配置文件的内容进行严格过滤和转义<\/li>
使用最新版本的PHP环境<\/li>
实施最小权限原则，限制Web服务器用户权限<\/li>
<\/ol>
免责声明<\/h2>
本教学文档仅供安全研究和学习使用，任何未经授权的攻击行为都是非法的。使用本文所述技术产生的任何后果由使用者自行承担。<\/p>

LMXCMS 任意文件删除到重装系统 getshell 组合拳教学文档<\/h1>

漏洞详细分析<\/h2>

免责声明<\/h2> 本教学文档仅供安全研究和学习使用，任何未经授权的攻击行为都是非法的。使用本文所述技术产生的任何后果由使用者自行承担。<\/p>

免责声明<\/h2>
本教学文档仅供安全研究和学习使用，任何未经授权的攻击行为都是非法的。使用本文所述技术产生的任何后果由使用者自行承担。<\/p>