【PHP代码审计】 Metinfo5.3.10版本前台Getshell

  • A+
所属分类:代码审计

0x01 前言

Veneno's  写的,其实文章内容还不错,所以给大家分享下。这位也是技术发烧友,低调型、

里面有两个知识点需要理解:
1.Metinfo采用的伪全局变量,之前也有过变量覆盖导致SQL注入的案例
/include/common.inc.php

【PHP代码审计】 Metinfo5.3.10版本前台Getshell

2.zip://伪协议的使用
zip:///usr/share/nginx/html/webmulu/1.zip#1.php


0x02 漏洞分析

grep下引用了common.inc.php的文件

【PHP代码审计】 Metinfo5.3.10版本前台Getshell
然后发现后台登录检查的地方有个$depth变量,我们检查下这个文件

【PHP代码审计】 Metinfo5.3.10版本前台Getshell

结合下zip伪协议就可以绕过require_once中’../include/captcha.class.php’的限制了(一开始只想着截断了…)

0x03 漏洞证明

首先生成一个特定的zip包如下:

【PHP代码审计】 Metinfo5.3.10版本前台Getshell


然后我们前台注册一个账户,上传头像处将这个zip包上传,得到路径:
D:/winsoftware/wamp/www/met539/upload/head/1.png(当然这里只能得到相对路径)

【PHP代码审计】 Metinfo5.3.10版本前台Getshell

构造POC如下:

【PHP代码审计】 Metinfo5.3.10版本前台Getshell

可以看到成功执行了命令,不错的话获取的是系统权限。

本文始发于微信公众号(飓风网络安全):【PHP代码审计】 Metinfo5.3.10版本前台Getshell

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: