WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2012-012467

漏洞标题：PHPCMS V9 getwebshell漏洞

相关厂商：phpcms

漏洞作者： tenzy

提交时间：2012-09-20 15:34

修复时间：2012-11-04 15:34

公开时间：2012-11-04 15:34

漏洞类型：文件上传导致任意代码执行

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签： 无

4人收藏 收藏

分享漏洞：

漏洞详情

披露状态：

2012-09-20： 细节已通知厂商并且等待厂商处理中
2012-09-24： 厂商已经确认，细节仅向厂商公开
2012-10-04： 细节向核心白帽子及相关领域专家公开
2012-10-14： 细节向普通白帽子公开
2012-10-24： 细节向实习白帽子公开
2012-11-04： 细节向公众公开

简要描述：

无须任何权限，直接得到WEBSHELL。
。。。其实。。
是有条件限制的，有PHP解析漏洞的主机通杀。。。。
人生在外，最重要不是朋友多而是，超长待机。我是陈冠希，你认识我啦

详细说明：

if (isset($GLOBALS["HTTP_RAW_POST_DATA"])) {
	$pic = $GLOBALS["HTTP_RAW_POST_DATA"];//这里可以得知，图片内容由POST控制
	//中间省略十万行
if (strpos($_GET['file'], pc_base::load_config('system', 'upload_url'))!==false) {
$file = $_GET['file'];
$basename = basename($file);
if (strpos($basename, 'thumb_')!==false) {
$file_arr = explode('_', $basename);
$basename = array_pop($file_arr);
}
$new_file = 'thumb_'.$width.'_'.$height.'_'.$basename;
}
//中间省略十万行
	file_put_contents($this->upload_path.$filepath.$new_file, $pic);
	//上面可见，文件名$basename可控，图片内容可控，还有什么不能做？？
}

漏洞证明：

修复方案：

版权声明：转载请注明来源 tenzy@乌云

漏洞回应