帝国CMS(EmpireCMS)V7.5のコードインジェクション分析(CVE-2018から19462)
まず、脆弱性の説明
コードインジェクションの脆弱性がadmindbDoSql.phpファイルEmpireCMS7.5およびそれ以前のバージョンが存在します。構成コードセグメントからこの脆弱性の外部入力データ、前記フィルタリングされていない正しくネットワークシステムまたは製品の特定の要素の間。攻撃者が不正なコードセグメントを生成するために、この脆弱性を悪用する可能性があり、変更は、ネットワークシステムまたはコンポーネントの実行フローを制御するように意図されています。
第二に、バージョン
EmpireCMS <= 7.5
第三に、環境を構築します
1、公式のダウンロードEmpireCMSのV7.5ダウンロードします。http://www.phome.net/download/
Webのルートディレクトリへのアップロードにダウンロードしたファイルでは2、すべてのディレクトリとファイル
3、そうでない場合は、インストールを促すメッセージが表示されますインストールすることはできません、PHP環境が短いタグを有効にする必要があり、php.iniの設定ファイルを変更します
図4に示すように、php.iniのはshort_open_tag =オン、再始動phpstudyに設けられています
5、その後、インストールを開始し、インストールプロセスのリファレンス:https://jingyan.baidu.com/article/48b37f8dcc014b1a6564887c.html
第四に、脆弱性の再現
1、ページの抜け穴次のように
図2は、位置解析ソースコードを参照し、/e/admin/db/DoSql.phpの抜け穴を見つけRepSqlTbpre処理機能SQLTEXTを使用します
3、他の処理をしなかった、交換を行うためにのみプレフィックステーブルで見つかった、RepSqlTbpre機能に従います
4、DoRunQueryを使用して$クエリ処理機能を見つけ、コードを閲覧し続けます
5、DoRunQuery機能に従う、我々は$ sqlをのパラメータのみをして、スペースを削除見ることができます「;」分離して、反復、あなたは何か制限やフィルタリングを行う必要はありませんが、悪質なSQL文を実行する能力
次のように6、ログオンの背景には、以下をクリックし、ペイロードの内容の書き込みペイロードシェルを入力します。
OUTFILE ':/phpStudy/WWW/empirecms/shell.php C' に '<?PHPの@Eval($ _ POST [1])>' を選択します
7、点击”执行SQL”,提示错误,是由于mysql安全限制的原因
8、修改mysql的配置文件, 在[mysqld] 下添加条目: secure_file_priv =,保存之后,然后重启mysql
9、再次执行SQL语句,可以看到成功执行SQL语句
10、查看是否成功上传shell
11、菜刀连接,成功getshell
-------------------------------------------------------------------------------------------------------------
参考: http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201906-306
https://github.com/novysodope/empireCMS7.5/blob/master/getshell