MetInfo任意文件读取漏洞的示例分析
这篇文章主要为大家展示了“MetInfo任意文件读取漏洞的示例分析”,内容简而易懂,条理清晰,希望能够帮助大家解决疑惑,下面让小编带领大家一起研究并学习一下“MetInfo任意文件读取漏洞的示例分析”这篇文章吧。
创新互联是专业的嘉祥网站建设公司,嘉祥接单;提供成都网站设计、网站建设,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行嘉祥网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
404实验室内部的WAM(Web应用监控程序,文末有关于WAM的介绍)监控到 MetInfo 版本更新,并且自动diff了文件,从diff上来看,应该是修复了一个任意文件读取漏洞,但是没有修复完全,导致还可以被绕过,本文就是记录这个漏洞的修复与绕过的过程。
漏洞简介
MetInfo是一套使用PHP和MySQL开发的内容管理系统。 MetInfo 6.0.0~6.1.0版本中的 old_thumb.class.php
文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。
漏洞影响
MetInfo 6.0.0
MetInfo 6.1.0
漏洞分析
看到\MetInfo6\app\system\include\module\old_thumb.class.php
从代码中可以看到,
$dir
直接由$_GET['dir']
传递进来,并将../
置空。目标是进入到第一个if里面的readfile($dir);
,读取文件。看看if语句的条件,里面的是将$dir
中包含$_M['url']['site']
的部分置空,这里可以不用管。外面是一个strstr
函数,判断$dir
中http
字符串的首次出现位置,也就是说,要进入到这个if语句里面,$dir
中包含http
字符串即可。从上面的分析可以构造出payload,只要
$dir
里包含http
字符串就可以进入到readfile
函数从而读取任意函数,然后可以使用..././
来进行目录跳转,因为../
会被置空,所以最终payload如下?dir=..././http/..././config/config_db.php对于这个任意文件读取漏洞,官方一直没补好,导致被绕过了几次。以下几种绕过方式均已提交CNVD,由CNVD通报厂商。
第一次绕过
根据WAM的监测记录,官方5月份的时候补了这个漏洞,但是没补完全。
看下diff:
可以看到,之前的只是把
../
置空,而补丁是把../
和./
都置空了。但是这里还是可以绕过。可以使用.....///
来跳转目录,.....///
经过str_replace
置空,正好剩下../
,可以跳转。所以payload是?dir=.....///http/.....///config/config_db.php第二次绕过
在提交第一种绕过方式给CNVD之后,MetInfo没多久就更新了,来看下官方的修复方式。
diff:
这里加了一个判断,
$dir
要以http
开头,变换一下之前的payload就可以继续绕过了。?dir=http/.....///.....///config/config_db.php第三次绕过
再次提交之后,官方知悉该绕过方式,又补了一次了。
看下diff:
看到补丁,又多加了一个判断条件,使用
strpos
函数查找./
首次出现的位置,也就是说不能有./
。没了./
,在Windows下还可以用..\
来跳转目录。所以payload?dir=http\..\..\config\config_db.php遗憾的是,这个只能在Windows环境下面才可以。
最终
目前在官网供下载的最新的6.1.0版本中,
old_thumb.class.php
这个文件已经被删除。以上是“MetInfo任意文件读取漏洞的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注创新互联行业资讯频道!
文章标题:MetInfo任意文件读取漏洞的示例分析
文章起源:http://hbruida.cn/article/iedpid.html