您现在的位置是:首页 > 教程 > pbootcms教程pbootcms教程
pbootcms任意代码执行分析
凌寒2024-12-06 23:28:00pbootcms教程已有人查阅
导读今天看到该cms进行了更新,分享一下前段时间发现的一处安全问题漏洞利用写此文时笔者使用的是2.0.9测试版本,发布时间为2020-05-05,更新时间为2020-06-18
今天看到该cms进行了更新,分享一下前段时间发现的一处安全问题漏洞利用
写此文时笔者使用的是2.0.9测试版本,发布时间为2020-05-05,更新时间为2020-06-18
在github上下载源码
安装后去官网获取授权码,登录后台添加授权码即可
正常登录后台,在站点信息中插入如下代码并且保存
保存后我们来到前台首页,使用burpsuite进行抓包,将数据包中的cookie头设为assert,Proxy-Connection头设置为想要执行的php代码,测试图片中使用的代码为system('whoami')
可以看到成功的执行了php代码代码分析
漏洞可以利用的原因在于apps\home\controller\ParserController.php中parserIfLabel函数对if标签解析时安全检验做的不够全面,函数主要存在两处安全校验,
对于第一处if判断,我们可以在函数名和括号之间插入控制字符,如\x01,这样即可绕过该处正则校验,并且可以正常执行php代码,该trick来源于KCon2019的一个议题
完整的ppt可以参见文末链接
对于第二处对 感函数的过滤,完整的校验如下
写此文时笔者使用的是2.0.9测试版本,发布时间为2020-05-05,更新时间为2020-06-18
在github上下载源码
安装后去官网获取授权码,登录后台添加授权码即可
正常登录后台,在站点信息中插入如下代码并且保存
保存后我们来到前台首页,使用burpsuite进行抓包,将数据包中的cookie头设为assert,Proxy-Connection头设置为想要执行的php代码,测试图片中使用的代码为system('whoami')
可以看到成功的执行了php代码代码分析
漏洞可以利用的原因在于apps\home\controller\ParserController.php中parserIfLabel函数对if标签解析时安全检验做的不够全面,函数主要存在两处安全校验,
对于第一处if判断,我们可以在函数名和括号之间插入控制字符,如\x01,这样即可绕过该处正则校验,并且可以正常执行php代码,该trick来源于KCon2019的一个议题
完整的ppt可以参见文末链接
对于第二处对 感函数的过滤,完整的校验如下
if (preg_match('/(\$_GET\[)|(\$_POST\[)|(\$_REQUEST\[)|(\$_COOKIE\[)|(\$_SESSION\[)|(file_put_contents)|(file_get_contents)|(fwrite)|(phpinfo)|(base64)|(`)|(shell_exec)|(eval)|(assert)|(system)|(exec)|(passthru)|(print_r)|(urldecode)|(chr)|(include)|(request)|(__FILE__)|(__DIR__)|(copy)/i', $matches[1][$i])) {
$danger = true;
}
在这里其实做的过滤并不全面,我们可以扩展思路,结合一些其他函数,例如call_user_func函数来进行利用,同时可以参考PHP无参数RCE的考点,将可控输入点转移到请求包的header头中,直接绕过cms中存在的一些过滤项,上面的利用方式中,使用了getallheaders()同时配合一些数组操作函数来达到执行任意代码的目的
本文标签:
很赞哦! ()
上一篇:pbootcms怎么做微信小程序
相关文章
- pbootcms异常提示 Undefined constant"PAGE
- pbootcms百度推送提示not_same_site的解决方法
- pbootcms后台图片上传提示”上传失败:存储目录创建失败!的解决
- pbootcms实现php+ajax文件上传
- pbootcms系统QQ邮箱接受邮件的配置方法
- pbootcms修改权限后仍然提示“会话目录写入权限不足”的解决方法
- lamp分离部署安装pbootcms
- pbootcms符合SEO优化的目录结构分析
- pbootcms提示“未检测到您服务器环境的sqlite3数据库扩展”的解
- pbootcms升级PHP版本需要注意什么
- pbootcms判断用户是否登录并排除Cookie过期但仍显示已登录的方法
- pbootcms加载类文件时错误类名【core\\basic\\Kernel】的解决方
随机图文
-
PbootCMS内容多图遍历参数说明
id=* 内容ID号,必填,用于控制需要输出图片的内容,也可使用id={content:id}、id=[list:id]自适应当前内容及列表 -
pbootcms的API接口使用说明文档
标签作用:用于远程调取系统数据,使用小程序、大众号、APP等。1)请先到后台进行API相关参数配置,强烈建议启用强制认证;2)客户端发起请求必须包含appid(认证用户) -
PbootCMS会员标签参数说明
会员标签 标签全站可用,具体使用建议参考默认模板 1、基本标签 {pboot:ucenter} 个人中心地址 {pboot:login} 登录地址 {pboot:register} 注册地址 {pboot:umodify} 资料修改 -
pbootcms通过会员自带上传实现留言表单图片文件上传的方法
PBOOTCMS3.0会员版本,里面有个会员上传头像的功能,这里可以稍微修改下当做留言上传的功能,首先member/comm/upload.html文件拷贝到上一层/comm/upload.html
留言与评论 (共有 条评论) |