CatfishCMS任意命令执行导致getshell
CatfishCMS任意命令执行导致getshell
目录
测试环境:windows + php5.4.45 +apache (phpStudy 集成环境)
CMS 版本: v4.8.54(发布于2019年1月)
漏洞已经修复。
CNVD-ID: CNVD-2019-06255
一、 漏洞说明
完整的payload为:
s=dir&_method=__construct&method=*&filter[]=system
结合源代码详细说明如下:
-
_method=__construct
CatfishCMS基于thinkPHP5开发。
Request类(catfish/library/think/Request.php)用于处理请求。
它的成员函数method用于获取请求的类型。
application/config.php 中定义了“表单请求类型伪装变量”:
POST请求参数 “ _method=__construct ”,将 __construct 传给了var_method ,在Request类的method函数中执行后,实现了对Request类的 __construct 构造函数的调用;并且将完整的POST参数传给了构造函数。 -
2、 method=*&filter[]=system
catfish/library/think/Request.php模块中的Request类的构造函数:
该函数中循环取出参数,如果是本类中存在的参数,就取用户传入的值为其赋值。
_method=__construct 使得 method 函数调用了 __construct 构造函数, 并且将完整的POST参数传递过去。实现了对本类中的 $method 和 $filter 两个全局变量的覆盖。
filter[]=system 的补充说明:
filter[]=system 或者 filter=system都可以,[]符号可有可无;system意为执行系统命令。Method=* 的补充说明:
method参数的取值限定为:catfish/library/think/Route.php 模块中定义的路由规则。如:GET、POST、PUT、* 等任何一个值都可以;如果值不在此表或为空,都会报错。
-
s=dir
application/config.php 中定义PATHINFO变量名为’ s ’。可用s传入需要执行的命令,如s=dir
最终的的payload:
s=dir&_method=__construct&method=&filter[]=system
_method=__construct 使得 Request类的method函数调用 __construct 构造函数,并且将完整的payload传递给构造函数;构造函数中对 method 和filter 两个全局变量进行覆盖,method=&filter[]=system ;参数s=dir传入需要执行的系统命令 dir 。
二、 漏洞测试
发现漏洞后,在申请CNVD的同时,我在厂商的github项目中提交了issue,地址为: https://github.com/xwlrbh/Catfish/issues/4 厂商确认了该漏洞。并且立即对产品打了补丁,然后发布了新版本v4.8.57。也可联系厂商确认原版本v4.8.54(发布于2019年1月)的该漏洞。
补丁见附录。
-
拦截首页请求,并改变请求方法为POST
-
构造POST请求
a、 method的值必须等于 “ * ”
b、 method=* 后面不能有任何参数,包括\r\n回车换行。
这两条任何一条不满足都不能执行。 -
执行一条windows命令,在网站根目录创建一个shell.php文件并写入一句话木马
-
测试执行phpinfo()
这里 phpinfo() 后边一定要跟一个分号,否则不能执行。 -
也可以新建一个文件并写入一句话木马,从而执行任意命令
6. 执行windows 的 dir 命令测试
三、漏洞修复
V4.8.54 的catfish/library/think/Request.php模块中Request类的method函数:
V4.8.57(漏洞修复后)的catfish/library/think/Request.php模块中Request类的method函数:
- android中的HandlerThread类 Runtime.getRuntime()报错null environmentAndroid执行shell命令Android获取系统剩余可用内存信息
- python3编写ThinkPHP命令执行Getshell的方法
- shell脚本中赋值给变量中有空格, 导致命令执行失败
- Runime.getRuntime().exec()中执行任意命令的两种方法
- 【漏洞复现】ThinkPHP5 5.x 远程命令执行(getshell)
- 在串口执行shell命令导致死锁。rtmutex相关故障排查方法。
- 在apk 中执行Runtime.getRuntime().exec adb shell各种命令远程控制其他Android设备(一)
- C++/Php/Python 语言执行shell命令
- Sun Java Web Server可以远程执行任意命令
- shell命令执行控制
- shell 下执行mysql 命令
- java本地调用cmd,shell命令,远程调用Linux执行命令方法总结
- JBoss zecmd.war/zecmd.jsp 可执行任意命令漏洞
- shell ssh远程执行命令
- 在Linux笔记本上执行这句命令就能导致设备永久变砖
- python的执行shell命令
- java执行本地命令Runtime.getRuntime().exec("netstat -an");
- Shell简介:什么是Shell,Shell命令的两种执行方式
- PHPcms9.6.0 最新版任意文件上传漏洞(直接getshell)
- Linux下一个shell脚本中的命令在多个服务器上执行