PHP代码审计-某cms逻辑漏洞导致getshell
2023-3-3 20:3:48 Author: 渗透安全团队(查看原文) 阅读量:14 收藏

文章首发在:奇安信攻防社区

https://forum.butian.net/share/2142

前言 如果存在exec进行拼接的漏洞,该如何绕过 <mark>一黑俩匹配 </mark>?当前如果是拼接和编码这种手法就不说了,现在在看的师傅您是审计大牛的话,这文章可以忽略不看。黑名单...

如果存在exec进行拼接的漏洞,该如何绕过 <mark>一黑俩匹配 </mark>?
当前如果是拼接和编码这种手法就不说了,现在在看的师傅您是审计大牛的话,这文章可以忽略不看。

黑名单

$_GET[
$_POST[
$_REQUEST[
$_COOKIE[
$_SESSION[
file_put_contents
file_get_contents
fwrite
phpinfo
base64
`
shell_exec
eval
assert
system
exec
passthru
pcntl_exec
popen
proc_open
print_r
print
urldecode
chr
include
request
__FILE__
__DIR__
copy
call_user_
preg_replace
array_map
array_reverse
array_filter
getallheaders
get_headers
decode_string
htmlspecialchars
session_id
strrev
substr
php.info

第一个匹配:

/([\w]+)([\x00-\x1F\x7F\/\*\<\>\%\w\s\\\\]+)?\(/i

第二个匹配:

这里不能有$符号,这里是重点 ,当然如果你想编码也可以,或者啥的手法都行,不过我在此之前没想到过,可以继续往下看

/\{pboot:if\(([^}^\$]+)\)\}([\s\S]*?)\{\/pboot:if\}/

先看效果

审计流程

通过审计工具半自动筛选出漏洞点。

跟进该漏洞点文件:apps/home/controller/ParserController.php

最终是通过了$matches[1][$i]进入到eval函数中。

第一个黑名单

接着往上看,这里有黑名单,如果$matches[1][$i]有黑名单就会跳出解析

<mark>这里的\\是社区编辑器默认加上防止转义,太多就懒得改了</mark>


// 过滤特殊字符串

if (preg\_match('/(\\(\[\\w\\s\\.\]+\\))|(\\$\_GET\\\[)|(\\$\_POST\\\[)|(\\$\_REQUEST\\\[)|(\\$\_COOKIE\\\[)|(\\$\_SESSION\\\[)|(file\_put\_contents)|(file\_get\_contents)|(fwrite)|(phpinfo)|(base64)|(\`)|(shell\_exec)|(eval)|(assert)|(system)|(exec)|(passthru)|(pcntl\_exec)|(popen)|(proc\_open)|(print\_r)|(print)|(urldecode)|(chr)|(include)|(request)|(\_\_FILE\_\_)|(\_\_DIR\_\_)|(copy)|(call\_user\_)|(preg\_replace)|(array\_map)|(array\_reverse)|(array\_filter)|(getallheaders)|(get\_headers)|(decode\_string)|(htmlspecialchars)|(session\_id)|(strrev)|(substr)|(php.info)/i', $matches\[1\]\[$i\])) {

$danger = true;

}

// 如果有危险函数,则不解析该IF

if ($danger) {

continue;

}

黑名单分别是拦截以下内容:


$\_GET\[

$\_POST\[

$\_REQUEST\[

$\_COOKIE\[

$\_SESSION\[

file\_put\_contents

file\_get\_contents

fwrite

phpinfo

base64

\`

shell\_exec

eval

assert

system

exec

passthru

pcntl\_exec

popen

proc\_open

print\_r

print

urldecode

chr

include

request

\_\_FILE\_\_

\_\_DIR\_\_

copy

call\_user\_

preg\_replace

array\_map

array\_reverse

array\_filter

getallheaders

get\_headers

decode\_string

htmlspecialchars

session\_id

strrev

substr

php.info

这可以看出过滤了好多函数,当然既然是黑名单就有绕过的方式,这里可以是加密形式绕过,不过加密后的密文做成payload就逆向解密不了了,因为是由特殊不可见数据流存在就会导致反解密会不到原来的明文。

这里可以用file和fputs函数绕过

第一个过滤

继续往上看,看到这个if判断,这里也是将$matches[1][$i]进行过滤,保证用户输入的字符串是无危害的,简单来说就是‘括号前面不能有字母、数字字符串’。


// 带有函数的条件语句进行安全校验

if (preg\_match\_all('/(\[\\w\]+)(\[\\x00-\\x1F\\x7F\\/\\\*\\<\\>\\%\\w\\s\\\\\\\\\]+)?\\(/i', $matches\[1\]\[$i\], $matches2)) {

foreach ($matches2\[1\] as $value) {

if (function\_exists(trim($value)) && ! in\_array($value, $white\_fun)) {

$danger = true;

break;

}

}

foreach ($matches2\[2\] as $value) {

if (function\_exists(trim($value)) && ! in\_array($value, $white\_fun)) {

$danger = true;

break;

}

}

}

当然这里也是黑名单,直接/*--*/绕过

4.3. 第三个过滤

这个就比较好过了就是指定的标签语法,使用这个{pboot:if(312313)}(13123){/pboot:if}

4.3.1. 注意:

这里不能有$符号,这里是重点


$pattern = '/\\{pboot:if\\((\[^}^\\$\]+)\\)\\}(\[\\s\\S\]\*?)\\{\\/pboot:if\\}/';

if (preg\_match\_all($pattern, $content, $matches)) {

}

构建payload

由于这里不能用美元符号”$“,前面第一个过滤说过,可用file函数绕过,如下图:

通过上面file函数获取的美元符号,并且通过fputs进行写文件,当然需要绝对路径才能读取美元符,这里就比较简单了,直接让cms报错就好了。

调用链


ParserController.php:84, app\\home\\controller\\ParserController->parserAfter()

TagController.php:47, app\\home\\controller\\TagController->index()

IndexController.php:50, app\\home\\controller\\IndexController->\_empty()

2:2, core\\basic\\Kernel::axqjlxzuuxaapu328937ae1368b88e8bf79cb6b342866a()

2:2, core\\basic\\Kernel::run()

start.php:17, require()

index.php:23, {main}()

访问首页就会进入到apps/home/controller/IndexController.php的_empty()方法,需要get的参数带有tag就可进入该判断

跟进到apps/home/controller/TagController.php的inde()方法,跟进第47行并跟进到apps/home/controller/ParserController.phpparserAfter()方法,最后就会到84行的漏洞方法中。

目前新版本未发现有该处函数


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247499283&idx=2&sn=38cb204dc20fac4edf7050de93999a02&chksm=c17603bcf6018aaa24d81d80d3ffdc2133bbdf975e2659caf8f2ee51ea4214778a6e0870df7e#rd
如有侵权请联系:admin#unsafe.sh