MetInfo任意文件讀取漏洞的示例分析
這篇文章主要為大家展示了“MetInfo任意文件讀取漏洞的示例分析”��,內容簡而易懂����,條理清晰�����,希望能夠幫助大家解決疑惑�,下面讓小編帶領大家一起研究并學習一下“MetInfo任意文件讀取漏洞的示例分析”這篇文章吧����。
*本文中涉及到的相關漏洞已報送廠商并得到修復���,本文僅限技術研究與討論���,嚴禁用于非法用途��,否則產生的一切后果自行承擔�。
404實驗室內部的WAM(Web應用監控程序�,文末有關于WAM的介紹)監控到 MetInfo 版本更新�����,并且自動diff了文件���,從diff上來看��,應該是修復了一個任意文件讀取漏洞�,但是沒有修復完全����,導致還可以被繞過����,本文就是記錄這個漏洞的修復與繞過的過程�。
漏洞簡介
MetInfo是一套使用PHP和Mysql開發的內容管理系統�����。 MetInfo 6.0.0~6.1.0版本中的 old_thumb.class.php文件存在任意文件讀取漏洞���。攻擊者可利用漏洞讀取網站上的敏感文件��。
漏洞影響
MetInfo 6.0.0
MetInfo 6.1.0
漏洞分析
看到\MetInfo6\app\system\include\module\old_thumb.class.php
<?php
# MetInfo Enterprise Content Management System
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.
defined('IN_MET')or exit('No permission');
load::sys_class('web');
class old_thumb extends web{
public function doshow(){
global $_M;
$dir = str_replace('../', '', $_GET['dir']);
if(strstr(str_replace($_M['url']['site'],'', $dir), 'http')){
header("Content-type: image/jpeg");
ob_start();
readfile($dir);
ob_flush();
flush();
die;
}
......從代碼中可以看到�����,$dir直接由$_GET['dir']傳遞進來��,并將../置空�����。目標是進入到第一個if里面的readfile($dir);���,讀取文件��??纯磇f語句的條件�,里面的是將$dir中包含$_M['url']['site']的部分置空�����,這里可以不用管�����。外面是一個strstr函數��,判斷$dir中http字符串的首次出現位置�,也就是說�,要進入到這個if語句里面�,$dir中包含http字符串即可����。
從上面的分析可以構造出payload�����,只要$dir里包含http字符串就可以進入到readfile函數從而讀取任意函數�����,然后可以使用..././來進行目錄跳轉�����,因為../會被置空����,所以最終payload如下
?dir=..././http/..././config/config_db.php
對于這個任意文件讀取漏洞����,官方一直沒補好��,導致被繞過了幾次�����。以下幾種繞過方式均已提交CNVD��,由CNVD通報廠商�。
第一次繞過
根據WAM的監測記錄�,官方5月份的時候補了這個漏洞�����,但是沒補完全�。
看下diff:
可以看到����,之前的只是把../置空�����,而補丁是把../和./都置空了��。但是這里還是可以繞過�����??梢允褂?code>.....///來跳轉目錄�,.....///經過str_replace置空����,正好剩下../���,可以跳轉��。所以payload是
?dir=.....///http/.....///config/config_db.php
第二次繞過
在提交第一種繞過方式給CNVD之后�����,MetInfo沒多久就更新了��,來看下官方的修復方式����。
diff:
這里加了一個判斷�����,$dir要以http開頭��,變換一下之前的payload就可以繼續繞過了����。
?dir=http/.....///.....///config/config_db.php
第三次繞過
再次提交之后�,官方知悉該繞過方式���,又補了一次了�����。
看下diff:
看到補丁��,又多加了一個判斷條件����,使用strpos函數查找./首次出現的位置��,也就是說不能有./��。沒了./����,在Windows下還可以用..\來跳轉目錄�����。所以payload
?dir=http\..\..\config\config_db.php
遺憾的是�����,這個只能在Windows環境下面才可以��。
最終
目前在官網供下載的最新的6.1.0版本中����,old_thumb.class.php這個文件已經被刪除�。
以上是“MetInfo任意文件讀取漏洞的示例分析”這篇文章的所有內容�����,感謝各位的閱讀���!相信大家都有了一定的了解���,希望分享的內容對大家有所幫助���,如果還想學習更多知識��,歡迎關注億速云行業資訊頻道���!
