当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2011-02984

漏洞标题:phpcms 2008代码注射漏洞

相关厂商:phpcms

漏洞作者: teamtopkarl

提交时间:2011-10-12 16:51

修复时间:2011-11-11 16:51

公开时间:2011-11-11 16:51

漏洞类型:设计不当

危害等级:高

自评Rank:5

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2011-10-12: 细节已通知厂商并且等待厂商处理中
2011-10-13: 厂商已经确认,细节仅向厂商公开
2011-10-16: 细节向第三方安全合作伙伴开放
2011-12-07: 细节向核心白帽子及相关领域专家公开
2011-12-17: 细节向普通白帽子公开
2011-12-27: 细节向实习白帽子公开
2011-11-11: 细节向公众公开

简要描述:

phpcms2008的某参数可以进行代码注入。

详细说明:

phpcms 2008的代码中由于对模板参数处理不当,导致可以任意执行任意代码文件。
具体的代码触发路径是这样的:
phpcms/yp/product.php中获取pagesize参数,拼接为$urlrule变量。随后将之带入yp目录下的product.html模板之中。在模板执行后,进入到get函数处理中,最后经过get->pages->pageurl函数,最终触发pageurl的如下代码:

eval("\$url = \"$urlrule\";");


在这里,将未过滤的$urlrule通过eval赋值。这里可以使用${@phpcode}的语法执行php函数,最终造成漏洞。(进入最后pageurl逻辑前,有个要求是product数目必须超过0,所以没有测试数据的本地新搭建环境没法复现,必须加一些测试数据才行)

漏洞证明:

http://demo.phpcms.cn/yp/product.php?pagesize=${@print(md5(admin))}
http://demo.phpcms.cn/yp/product.php?pagesize=${@phpinfo()}

修复方案:

版权声明:转载请注明来源 teamtopkarl@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2011-10-13 10:03

厂商回复:

5

最新状态:

暂无

漏洞评价:

评论

  1. 2011-10-13 00:36 | d4rkwind ( 路人 | Rank:8 漏洞数:2 | 关注web 安全,产品安全)

  2. 2011-10-13 10:08 | rayh4c ( 普通白帽子 | Rank:240 漏洞数:23 )

    自评RANK好低啊 - -

  3. 2011-10-13 10:16 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    关键是厂商的亮了 命令执行还低 无解的盛大啊 哈哈

  4. 2011-10-13 10:47 | c4rp3nt3r ( 实习白帽子 | Rank:70 漏洞数:10 | 人生的意义就在于从一个圈子跳到另一个更大...)

    盛大也给过我一次5R,好像这玩意要花钱是的

  5. 2011-10-13 12:55 | 我了个去 ( 普通白帽子 | Rank:139 漏洞数:14 | 4892057@qq.com ...)

    求exp,哈哈

  6. 2011-10-13 15:12 | teamtopkarl ( 实习白帽子 | Rank:48 漏洞数:7 | 对网络安全事业一直保持着激情)

    我这个洞被盛大无视了,我也没怎么深入,只给了个POC

  7. 2011-10-13 22:10 | 笨子 ( 路人 | Rank:4 漏洞数:2 | 80759112)

    坐等公开啊 盛大人为 就算你射了 你后台也拿不到shell

  8. 2011-10-13 22:22 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这直接执行代码的 就是个shell不需要你射

  9. 2011-10-13 22:47 | 坏虾 ( 路人 | Rank:28 漏洞数:8 | From Internet,For Internet……BY:坏虾)

    这两天,phpcms 2008都被人搞烂了快。唉,直接getshell

  10. 2011-10-14 00:31 | teamtopkarl ( 实习白帽子 | Rank:48 漏洞数:7 | 对网络安全事业一直保持着激情)

    是远程代码执行,EXP我写出来了

  11. 2011-10-14 02:48 | 笨子 ( 路人 | Rank:4 漏洞数:2 | 80759112)

    额 求 exp getshell

  12. 2011-10-14 07:19 | teamtopkarl ( 实习白帽子 | Rank:48 漏洞数:7 | 对网络安全事业一直保持着激情)

    铁证如山,看我的截图,哈哈http://hi.baidu.com/teamtopkarl/blog/item/cbe18fef7bf09af3cf1b3e26.html

  13. 2011-10-14 07:28 | teamtopkarl ( 实习白帽子 | Rank:48 漏洞数:7 | 对网络安全事业一直保持着激情)

    这洞我其实去年11月份就发现了,直接看文章http://hi.baidu.com/teamtopkarl/blog/item/9ca1e719fa13796adbb4bd68.html

  14. 2011-10-14 13:00 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    怎么发现的啊 这个

  15. 2011-10-15 12:38 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    这种洞洞 尤其是针对开源程序。只要仔细审查一遍代码。就能发现不少地方

  16. 2011-10-17 22:20 | xiaoxin ( 实习白帽子 | Rank:72 漏洞数:16 | 无)

    有点鸡肋了,许多网站禁用此模块

  17. 2011-11-12 12:03 | gainover 认证白帽子 ( 核心白帽子 | Rank:1710 漏洞数:93 | PKAV技术宅社区! -- gainover| 工具猫网络-...)

    - - RANK真低

  18. 2011-11-12 12:27 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    说明厂商的判断能力有问题

  19. 2012-05-25 10:52 | Php0day ( 路人 | Rank:1 漏洞数:1 | php安全开发、代码审计、渗透测试。)

    哇。。我都不敢提交了。

  20. 2012-08-18 20:29 | 冷bing ( 路人 | Rank:0 漏洞数:1 | 你懂的、。)

    最近,phpcms 很火啊,这是为什么呢?为什么?

  21. 2013-08-31 21:45 | 少校 ( 实习白帽子 | Rank:40 漏洞数:5 | 别开枪,自己人!)

    本站验证码太简单,很容易识别,我是测试验证码识别程序!

  22. 2013-09-02 14:32 | Bloodwolf ( 实习白帽子 | Rank:47 漏洞数:8 | whoami)

    楼上的木有小JJ!我是测试验证码识别程序!