MetInfo任意文件讀取漏洞的示例分析

這篇文章主要為大家展示了“MetInfo任意文件讀取漏洞的示例分析”，內(nèi)容簡(jiǎn)而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“MetInfo任意文件讀取漏洞的示例分析”這篇文章吧。

*本文中涉及到的相關(guān)漏洞已報(bào)送廠商并得到修復(fù)，本文僅限技術(shù)研究與討論，嚴(yán)禁用于非法用途，否則產(chǎn)生的一切后果自行承擔(dān)。

404實(shí)驗(yàn)室內(nèi)部的WAM(Web應(yīng)用監(jiān)控程序，文末有關(guān)于WAM的介紹)監(jiān)控到 MetInfo 版本更新，并且自動(dòng)diff了文件，從diff上來(lái)看，應(yīng)該是修復(fù)了一個(gè)任意文件讀取漏洞，但是沒(méi)有修復(fù)完全，導(dǎo)致還可以被繞過(guò)，本文就是記錄這個(gè)漏洞的修復(fù)與繞過(guò)的過(guò)程。    

漏洞簡(jiǎn)介

MetInfo是一套使用PHP和Mysql開(kāi)發(fā)的內(nèi)容管理系統(tǒng)。 MetInfo 6.0.0~6.1.0版本中的 old_thumb.class.php文件存在任意文件讀取漏洞。攻擊者可利用漏洞讀取網(wǎng)站上的敏感文件。

漏洞影響

MetInfo 6.0.0

MetInfo 6.1.0

漏洞分析

看到\MetInfo6\app\system\include\module\old_thumb.class.php

<?php
# MetInfo Enterprise Content Management System
# Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.

defined('IN_MET')or exit('No permission');

load::sys_class('web');

class old_thumb extends web{

      public function doshow(){
        global $_M;

        $dir = str_replace('../', '', $_GET['dir']);

        if(strstr(str_replace($_M['url']['site'],'', $dir), 'http')){
            header("Content-type: image/jpeg");
            ob_start();
            readfile($dir);
            ob_flush();
            flush();
            die;
        }
......

從代碼中可以看到，$dir直接由$_GET['dir']傳遞進(jìn)來(lái)，并將../置空。目標(biāo)是進(jìn)入到第一個(gè)if里面的readfile($dir);，讀取文件?？纯磇f語(yǔ)句的條件，里面的是將$dir中包含$_M['url']['site']的部分置空，這里可以不用管。外面是一個(gè)strstr函數(shù)，判斷$dir中http字符串的首次出現(xiàn)位置，也就是說(shuō)，要進(jìn)入到這個(gè)if語(yǔ)句里面，$dir中包含http字符串即可。

從上面的分析可以構(gòu)造出payload，只要$dir里包含http字符串就可以進(jìn)入到readfile函數(shù)從而讀取任意函數(shù)，然后可以使用..././來(lái)進(jìn)行目錄跳轉(zhuǎn)，因?yàn)?code>../會(huì)被置空，所以最終payload如下

?dir=..././http/..././config/config_db.php

對(duì)于這個(gè)任意文件讀取漏洞，官方一直沒(méi)補(bǔ)好，導(dǎo)致被繞過(guò)了幾次。以下幾種繞過(guò)方式均已提交CNVD，由CNVD通報(bào)廠商。

第一次繞過(guò)

根據(jù)WAM的監(jiān)測(cè)記錄，官方5月份的時(shí)候補(bǔ)了這個(gè)漏洞，但是沒(méi)補(bǔ)完全。

看下diff：

可以看到，之前的只是把../置空，而補(bǔ)丁是把../和./都置空了。但是這里還是可以繞過(guò)?？梢允褂?code>.....///來(lái)跳轉(zhuǎn)目錄，.....///經(jīng)過(guò)str_replace置空，正好剩下../，可以跳轉(zhuǎn)。所以payload是

?dir=.....///http/.....///config/config_db.php

第二次繞過(guò)

在提交第一種繞過(guò)方式給CNVD之后，MetInfo沒(méi)多久就更新了，來(lái)看下官方的修復(fù)方式。

diff：

這里加了一個(gè)判斷，$dir要以http開(kāi)頭，變換一下之前的payload就可以繼續(xù)繞過(guò)了。

?dir=http/.....///.....///config/config_db.php

第三次繞過(guò)

再次提交之后，官方知悉該繞過(guò)方式，又補(bǔ)了一次了。

看下diff：

看到補(bǔ)丁，又多加了一個(gè)判斷條件，使用strpos函數(shù)查找./首次出現(xiàn)的位置，也就是說(shuō)不能有./。沒(méi)了./，在Windows下還可以用..\來(lái)跳轉(zhuǎn)目錄。所以payload

?dir=http\..\..\config\config_db.php

遺憾的是，這個(gè)只能在Windows環(huán)境下面才可以。

最終

目前在官網(wǎng)供下載的最新的6.1.0版本中，old_thumb.class.php這個(gè)文件已經(jīng)被刪除。

以上是“MetInfo任意文件讀取漏洞的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對(duì)大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！