Phpcms v9漏洞分析

最近研究源码审计相关知识，会抓起以前开源的CMS漏洞进行研究，昨天偶然看见了这个PHPCMS的漏洞，就准备分析研究一番，最开始本来想直接从源头对代码进行静态分析，但是发现本身对PHPCMS架构不是很熟悉，导致很难定位代码的位置，最后就采用动态调试&静态分析的方式对漏洞的触发进行分析，下面进入正题。

1、漏洞触发代码定位

通过漏洞的POC（/phpcms/index.php?m=member&c=index&a=register&siteid=1 ）判断，漏洞触发点的入口位于/phpcms/modules/member/index.php文件中的register()方法中，在代码中插入一些echo函数，观察输出（见下）的变化。从下面的结果变化可知，img标签的src属性是在执行完下面的get()函数：

$user_model_info = $member_input->get($_POST['info'])

后发生变化，因此基本可以确定，漏洞的触发点就是位于这个函数中。

2、定位member_input->get()跟进分析

跟进该函数，该函数位于/phpcms/modules/member/fields/member_input.class.php文件中，此处本来还想故技重施，在该方法中对代码进行插桩，但是发现插桩后的居然无法打印到页面上，没辙（原因望各位大神指点一二），只能对代码进行一行行推敲，先把代码贴上，方便分析：

代码整体比较容易，可能比较难理解的就是$this->fields这个参数，这个参数是初始化类member_input是插入的，这个参数分析起来比较繁琐，主要是对PHPCMS架构不熟，那就在此走点捷径吧，在1中，直接将初始化完成后的member_input类dump出来，效果还不错，所有的参数都dump到页面上了，下面主要摘取比较重要的$this->fields[$field]，即：【$this->fields["content"]】这个参数，如下所示⤵️：

有了上面的参数列表后，理解get()函数的代码就要轻松许多了，分析过程略。结论就是，漏洞的触发函数在倒数6、7两行，单独截个图，如下⤵️：

这里比较重要的是要找出$func这个函数，查查上面的表，找到["formtype"]=>string(6) “editor”，可知$func就是editor()函数，editor函数传入的参数就是上面列出的一长串字符串，和img标签的内容，下面将跟进editor函数，真相好像马上就要大白于天下了。

3、跟进editor函数及后续函数

editor()函数位于/phpcms/modules/member/fields/editor/imput.inc.php文件中，老规矩，先贴出代码：

简单阅读代码，发现实际的触发流程发生在$this->attachment->download()函数中，直接跟进这个函数，这个函数位于/phpcms/libs/classes/attachment.class.php中download()函数，源代码有点长，就贴一些关键代码，⤵️

代码主要是进行一些正则过滤等等操作，这里真正关键的是代码的最后一行的操作$upload_func($file, $newfile)，其中$this->upload_func = ‘copy’;，写的在明白点就是copy($file, $newfile)，漏洞就是一个copy操作造成的。