pbootcms任意代码执行分析

今天看到该cms进行了更新，分享一下前段时间发现的一处安全问题漏洞利用
写此文时笔者使用的是2.0.9测试版本，发布时间为2020-05-05，更新时间为2020-06-18
在github上下载源码
安装后去官网获取授权码，登录后台添加授权码即可
正常登录后台，在站点信息中插入如下代码并且保存
保存后我们来到前台首页，使用burpsuite进行抓包，将数据包中的cookie头设为assert，Proxy-Connection头设置为想要执行的php代码，测试图片中使用的代码为system('whoami') 
可以看到成功的执行了php代码代码分析
漏洞可以利用的原因在于apps\home\controller\ParserController.php中parserIfLabel函数对if标签解析时安全检验做的不够全面，函数主要存在两处安全校验，
对于第一处if判断，我们可以在函数名和括号之间插入控制字符，如\x01，这样即可绕过该处正则校验，并且可以正常执行php代码，该trick来源于KCon2019的一个议题
完整的ppt可以参见文末链接
对于第二处对 感函数的过滤，完整的校验如下

if (preg_match('/(\$_GET\[)|(\$_POST\[)|(\$_REQUEST\[)|(\$_COOKIE\[)|(\$_SESSION\[)|(file_put_contents)|(file_get_contents)|(fwrite)|(phpinfo)|(base64)|(`)|(shell_exec)|(eval)|(assert)|(system)|(exec)|(passthru)|(print_r)|(urldecode)|(chr)|(include)|(request)|(__FILE__)|(__DIR__)|(copy)/i', $matches[1][$i])) {
$danger = true;
}

在这里其实做的过滤并不全面，我们可以扩展思路，结合一些其他函数，例如call_user_func函数来进行利用，同时可以参考PHP无参数RCE的考点，将可控输入点转移到请求包的header头中，直接绕过cms中存在的一些过滤项，上面的利用方式中，使用了getallheaders()同时配合一些数组操作函数来达到执行任意代码的目的

本文标签：

声明：本文由代码号注册/游客用户【凌寒】供稿发布，本站不对用户发布的pbootcms任意代码执行分析信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。同时遵循 CC 4.0 BY-SA 版权协议，尊重和保护作者的劳动成果，转载请标明出处链接和本声明内容。本文作者：凌寒» https://www.ebingou.cn/dmh/13328.html

很赞哦！ ()