MetInfo任意文件读取漏洞的修复与绕过
2018-10-24 08:46:15来源:红黑联盟 阅读 ()
404实验室内部的WAM(Web应用监控程序,文末有关于WAM的介绍)监控到 MetInfo 版本更新,并且自动diff了文件,从diff上来看,应该是修复了一个任意文件读取漏洞,但是没有修复完全,导致还可以被绕过,本文就是记录这个漏洞的修复与绕过的过程。
漏洞简介
MetInfo是一套使用PHP和Mysql开发的内容管理系统。 MetInfo 6.0.0~6.1.0版本中的 old_thumb.class.php文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。
漏洞影响
MetInfo 6.0.0
MetInfo 6.1.0
漏洞分析
看到\MetInfo6\app\system\include\module\old_thumb.class.php
# MetInfo Enterprise Content Management System
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.
defined('IN_MET')or exit('No permission');
load::sys_class('web');
class old_thumb extends web{
public function doshow(){
global $_M;
$dir = str_replace('../', '', $_GET['dir']);
if(strstr(str_replace($_M['url']['site'],'', $dir), 'http')){
header("Content-type: image/jpeg");
ob_start();
readfile($dir);
ob_flush();
flush();
die;
}
......
从代码中可以看到,$dir直接由$_GET['dir']传递进来,并将../置空。目标是进入到第一个if里面的readfile($dir);,读取文件。看看if语句的条件,里面的是将$dir中包含$_M['url']['site']的部分置空,这里可以不用管。外面是一个strstr函数,判断$dir中http字符串的首次出现位置,也就是说,要进入到这个if语句里面,$dir中包含http字符串即可。
从上面的分析可以构造出payload,只要$dir里包含http字符串就可以进入到readfile函数从而读取任意函数,然后可以使用..././来进行目录跳转,因为../会被置空,所以最终payload如下
?dir=..././http/..././config/config_db.php
对于这个任意文件读取漏洞,官方一直没补好,导致被绕过了几次。以下几种绕过方式均已提交CNVD,由CNVD通报厂商。
第一次绕过
根据WAM的监测记录,官方5月份的时候补了这个漏洞,但是没补完全。
看下diff:
可以看到,之前的只是把../置空,而补丁是把../和./都置空了。但是这里还是可以绕过。可以使用.....///来跳转目录,.....///经过str_replace置空,正好剩下../,可以跳转。所以payload是
?dir=.....///http/.....///config/config_db.php
第二次绕过
在提交第一种绕过方式给CNVD之后,MetInfo没多久就更新了,来看下官方的修复方式。
diff:
这里加了一个判断,$dir要以http开头,变换一下之前的payload就可以继续绕过了。
?dir=http/.....///.....///config/config_db.php
第三次绕过
再次提交之后,官方知悉该绕过方式,又补了一次了。
看下diff:
看到补丁,又多加了一个判断条件,使用strpos函数查找./首次出现的位置,也就是说不能有./。没了./,在Windows下还可以用..\来跳转目录。所以payload
?dir=http\..\..\config\config_db.php
遗憾的是,这个只能在Windows环境下面才可以。
最终
目前在官网供下载的最新的6.1.0版本中,old_thumb.class.php这个文件已经被删除。
总结
一次次的修补,一次次的绕过,感觉开发者应该是没有理解到漏洞利用的原理,一直以类黑名单的形式在修复,而黑名单的形式总是容易被绕过。除了删除文件外,根据实际功能,可以考虑使用白名单方式修复,例如限定所能读取的文件类型为图片类型。
关于WAM
WAM 应用监控:通过监控互联网开源Web应用的版本更新,自动化Diff审计源代码,发送漏洞告警邮件,第一时间发现漏洞及后门植入。
功能特性
目前已支持150种 Web 应用的版本源码监控;
支持监控 Web 应用历史版本源码包下载;
监控 Web 应用版本发布页面自动下载更新;
自动 Diff 版本,比较文件更新,高亮显示,自动审计可疑漏洞或后门;
自动邮件告警可以漏洞/后门审计结果。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- 如何快速找出Linux服务器上不该存在恶意或后门文件 2019-08-19
- Vdex Extractor:从Vdex文件反编译和提取Android Dex字节码 2018-10-24
- 幽灵间谍:TrickBot新变种运用“无文件”技术发起攻击 2018-10-24
- 幽灵间谍:“TrickBot”新变种运用“无文件”技术发起攻击 2018-10-24
- 新型勒索软件GIBON现身,针对Windows文件夹以外所有文件 2018-09-05
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash