data: 2020.11.9 10:00AM
description: seacms代码审计笔记
0X01前言
seacms(海洋cms)在10.1版本后台存在多处漏洞,事实上当前最新版V10.7这些漏洞都没有修复,网上已有10.1版本相关的分析文章,这里就不再重复赘述。我们简单分析下文章中未体现的几个漏洞。
0X02分析
代码注入
在后台admin_ping.php
中,看下代码:
<?php
header('Content-Type:text/html;charset=utf-8');
require_once(dirname(__FILE__)."/config.php");
CheckPurview();
if($action=="set")
{
$weburl= $_POST['weburl'];
$token = $_POST['token'];
$open=fopen("../data/admin/ping.php","w" );
$str='<?php ';
$str.='$weburl = "';
$str.="$weburl";
$str.='"; ';
$str.='$token = "';
$str.="$token";
$str.='"; ';
$str.=" ?>";
fwrite($open,$str); //直接写入,未过滤
fclose($open);
ShowMsg("成功保存设置!","admin_ping.php");
exit;
}
?>
代码中直接取$_POST['weburl']
和$_POST['token']
的值写入php文件,我们直接传入";phpinfo();"
,看下结果:
任意文件删除
在admin_template.php
第114-133行:
elseif($action=='del')
{
if($filedir == '')
{
ShowMsg('未指定要删除的文件或文件名不合法', '-1');
exit();
}
if(substr(strtolower($filedir),0,11)!=$dirTemplate){ //目录限制,只判断前11个字符
ShowMsg("只允许删除templets目录内的文件!","admin_template.php");
exit;
}
$folder=substr($filedir,0,strrpos($filedir,'/'));
if(!is_dir($folder)){
ShowMsg("目录不存在!","admin_template.php");
exit;
}
unlink($filedir);
ShowMsg("操作成功!","admin_template.php?path=".$folder);
exit;
}
代码中目录限制知判断前11位字符,利用../绕过限制,实现任意文件删除。
由于成功安装程序后,安装文件被更名为index.phpbak
,故无法和重装漏洞组合利用,只能造成对网站的破坏。
目录遍历漏洞
问题和任意文件删除类似:
else
{
if(empty($path)) $path=$dirTemplate; else $path=strtolower($path);
if(substr($path,0,11)!=$dirTemplate){ //与上面同理
ShowMsg("只允许编辑templets目录!","admin_template.php");
exit;
}
$flist=getFolderList($path);