Info开源系统Getshell漏洞分析及利用教学<\/h1>

漏洞概述<\/h2>

本漏洞存在于某Info开源系统的后台管理模块，通过参数控制实现文件包含，结合文件上传功能可导致远程代码执行（RCE）。漏洞主要涉及以下两个关键点：<\/p>

通过参数控制实现任意文件包含<\/li>

文件上传功能绕过与组合利用<\/li> <\/ol>

漏洞分析<\/h2>

1. 入口文件分析<\/h3>

漏洞起始于admin\/index.php<\/code>文件，该系统允许通过m<\/code>、c<\/code>、a<\/code>等参数控制加载的文件和方法。<\/p>

关键代码路径：<\/p>

admin\/index.php → app\/system\/entrance.php → load::module()
<\/code><\/pre>
2. 关键参数控制<\/h3>
在app\/system\/entrance.php<\/code>中，当满足以下条件时：<\/p>

M_TYPE == 'system'<\/code><\/li>
M_MODULE == 'include'<\/code><\/li>
<\/ul>
系统会设置常量：<\/p>
PATH_OWN_FILE<\/span> =<\/span> PATH_APP<\/span>.<\/span>M_TYPE<\/span>.<\/span>'\/'<\/span>.<\/span>M_MODULE<\/span>.<\/span>'\/module\/'<\/span>
<\/span><\/span><\/code><\/pre>即路径：\/app\/system\/include\/module<\/code><\/p>
参数控制方式<\/strong>：<\/p>

M_NAME<\/code>参数不赋值可使M_TYPE<\/code>值为system<\/code><\/li>
M_MODULE<\/code>参数可控，可设置为include<\/code><\/li>
<\/ul>
3. 文件包含机制<\/h3>
load::module()<\/code>方法在不传递参数时，会使用默认值：<\/p>
$path =<\/span> PATH_OWN_FILE<\/span> =<\/span> '\/app\/system\/include\/module'<\/span>
<\/span><\/span><\/code><\/pre>后续通过self::_load_class($path, $modulename, $action)<\/code>加载文件：<\/p>

查找\/app\/system\/include\/module\/<\/code>目录下的.class.php<\/code>文件<\/li>
实例化类并调用指定方法<\/li>
<\/ol>
4. 可利用的文件与方法<\/h3>
在\/app\/system\/include\/module\/<\/code>目录下存在可利用的文件：<\/p>

loadtemp.class.php<\/code>中的doviewHtml<\/code>方法<\/li>
uploadify.class.php<\/code>中的doupfile<\/code>方法<\/li>
<\/ul>
5. 文件包含漏洞细节<\/h3>
doviewHtml<\/code>方法调用链：<\/p>
doviewHtml → $view->dofetch → fetch → display → compile
<\/code><\/pre>
关键点：<\/p>

$_M['form']['path']<\/code>等同于$_POST['path']<\/code>，完全可控<\/li>
最终将用户控制的文件路径内容读取并包含执行<\/li>
<\/ul>
6. 文件上传漏洞<\/h3>
uploadify.class.php<\/code>中的doupfile<\/code>方法：<\/p>

允许上传白名单内的文件<\/li>
结合文件包含漏洞可实现任意代码执行<\/li>
<\/ul>
漏洞复现步骤<\/h2>


设置参数控制路径<\/strong>：<\/p>

通过不赋值M_NAME<\/code>使M_TYPE=system<\/code><\/li>
设置M_MODULE=include<\/code><\/li>
使系统加载\/app\/system\/include\/module\/<\/code>目录<\/li>
<\/ul>
<\/li>

调用loadtemp.class.php<\/strong>：<\/p>

通过参数控制调用loadtemp.class.php<\/code>的doviewHtml<\/code>方法<\/li>
通过POST传递path<\/code>参数控制包含的文件<\/li>
<\/ul>
<\/li>

文件上传利用<\/strong>：<\/p>

调用uploadify.class.php<\/code>的doupfile<\/code>方法上传文件<\/li>
虽然有限制，但可上传白名单内的特定文件<\/li>
结合文件包含漏洞执行上传的文件<\/li>
<\/ul>
<\/li>

组合利用实现RCE<\/strong>：<\/p>
上传恶意文件 → 通过文件包含执行 → 获取Webshell
<\/code><\/pre>
<\/li>
<\/ol>
修复建议<\/h2>

及时更新官方发布的最新补丁<\/li>
对用户输入参数进行严格过滤<\/li>
限制文件包含的目录范围<\/li>
加强文件上传功能的验证机制<\/li>
禁用危险函数如call_user_func<\/code>的直接调用<\/li>
<\/ol>
技术要点总结<\/h2>

参数注入<\/strong>：通过m<\/code>、c<\/code>、a<\/code>等参数控制程序流程<\/li>
路径控制<\/strong>：利用M_TYPE<\/code>和M_MODULE<\/code>控制包含路径<\/li>
文件包含<\/strong>：通过doviewHtml<\/code>方法实现任意文件包含<\/li>
上传绕过<\/strong>：利用白名单机制上传特定文件<\/li>
组合利用<\/strong>：文件上传+文件包含=远程代码执行<\/li>
<\/ol>
防御措施<\/h2>

实施最小权限原则<\/li>
对所有用户输入进行验证和过滤<\/li>
禁用不必要的危险函数<\/li>
定期进行安全审计和代码审查<\/li>
部署WAF等防护设备<\/li>
<\/ol>
本漏洞展示了参数注入、文件包含和文件上传功能组合利用的典型案例，强调了输入验证和最小权限原则在Web应用安全中的重要性。<\/p>