欢迎访问Sunbet官网(www.sunbet.us),Allbet欧博官网(www.ALLbetgame.us)!

首页Sunbet_安全预警正文

MyuCMS<=2.2.1反序列化

b9e08c31ae1faa592019-12-31122安全技术漏洞分析

前言

MyuCMS开源内容管理系统,采用ThinkPHP开发而成的社区商城聚合,插件,模板,轻便快捷容易扩展.

基于TP框架的审计思路,我一般会先翻一遍框架的已知漏洞去套娃,或者利用不安全的函数溯源.

(以下漏洞均提交CNVD)

环境

apache2+mysql+php5.6

MyuCMS 2.2.1

debian

漏洞原理

限制:需要一个前台账户,注册即可

利用前台会员账户可以上传图片,再利用前台任意文件下载触发phar反序列化.

漏洞分析

前台文件上传(文件后缀限制)

文件:application/index/controller/Upload.php

利用函数Pic可以上传文件,但是后缀限制jpg,png,gif.如果要执行图片马需要利用文件包含.翻了下没有发现可控的包含点.

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第1张

前台任意文件下载

文件:application/bbs/controller/Index.php

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第2张

Apereo CAS 4.X execution参数反序列化漏洞分析

漏洞分析 在 cas-servlet.xml 中,可以知道对execution参数应该关注 FlowExecutorImpl 在 org/springframework/webflow/executor/FlowExecutorImpl.class:96 public FlowExecutionResult resumeExecution(String flowExecutionKey, ExternalContext context) throws FlowException { FlowExecutionResult var6;

继续跟进download方法

只要is_file函数成功判断传入的$filename为合理函数就能够执行下方的readfile方法

由于这里没有任何限制,可以下载任意文件.

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第3张

有趣的是,is_file函数是会触发phar反序列化

Demo测试

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第4张

漏洞复现

Myucms是基于tp5.0.x开发,刚了一天没有发现可以rce的反序列化利用链,找到一条可以实现任意文件删除,可以删除install.lock进行重装.还有一条SSRF可以参考:ThinkPHP 5.0反序列化利用链学习

EXP

此处有很重的马赛克

上传phar包

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第5张

任意文件下载处触发反序列化

在网站目录下创建flag.txt作测试文件,如下GIF测试成功删除flag.txt

MyuCMS<=2.2.1反序列化  安全技术 漏洞分析 第6张

结语

刚了很就的tp5.0.x反序列化利用链,没有肝到rce(tcl...

希望师傅们喜欢


网友评论