MiniCMS代码执行漏洞

type

status

date

slug

summary

简述

根据CVE漏洞情报描述，MiniCMS 1.10 允许通过 install.php sitename 参数执行任意 PHP 代码，这会影响 mc_conf.php 中的 site_name 字段。实际上，漏洞点不止一个sitename参数。

下载1.10版本

解压后命名将文件夹为minicms，移动文件夹到web目录下，并将minicms目录下的install.txt文件修改为install.php ，访问 http://yourip/minicms/install.php

（下载的是1.10，不知道为什么显示v1.9）

点击提交并抓包

将sitename修改为以上的payload '%29;eval($_REQUEST['cmd']);/* ，返回200

访问shell http://yourip/minicms/?cmd=phpinfo();

查看install.php ，显然，安装完成后这个文件自己删除了，所以需要备份install.txt查看

首先通过 start_install 参数判断请求操作

接着判断配置文件 mc-conf.php 是否存在，来判断进行第一次安装还是升级

来到漏洞关键的代码，如果start_install非空，进行安装，file_put_contents将 sitelink 等参数直接写进 mc-conf.php 配置文件，同时这5个参数是用户可控的

后续代码创建其他一些索引文件，最后 unlink 删除自身，显然，这个漏洞一般没法利用，逻辑上来说安装完网站后不存在漏洞利用，只能在安装的时候被利用一次，只有监守自盗的可能了。

看看创建后的 mc-conf.php

很直接简单的拼接，每个参数的格式一样，只需要闭合前面的 ') ，同时注释后续的代码，即可在中间拼接恶意代码。通过测试，注入点并非如通告所说只有sitename，而是sitelinkusernamepasswordnickname均可以作为注入点