欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

metinfo 6.2.0最新版本前台注入分析

来源:本站整理 作者:佚名 时间:2019-04-02 TAG: 我要投稿

看到某个表哥发的metinfo 6.1.3最新注入(https://xz.aliyun.com/t/4508),以前我发过metinfo利用注入getshell的文章,这里正好可以结合。(https://nosec.org/home/detail/2324.html),在检查官方发布的最新版6.2.0版本的时候,发现该漏洞并未修复。
 
利用条件
前台,(https://xz.aliyun.com/t/4508 )作者在这里说需要注册会员,其实有一处不需要。
 
漏洞详情
这里关键点在auth类的encode()和decode()方法。看下代码:

这里两个方法全都调用了authcode()方法,跟进authcode看一下:

这里decode和encode算法可逆,但我们需要知道$key的值,查看构造函数:

这里$key的值是来源于met_webkeys这个配置,查看met_webkeys来源发现在安装的时候把这个key写入到./config/config_safe.php文件中。

查看/config/config_safe.php文件,这里写入方式类似以下,但p牛在某篇文章中说过,这种是无法解析的,php后面必须要有一个空白字符,右键查看源代码即可得到met_webkeys,但有的会报错,根据这个表哥所说和php线程安全有关,本地试了下好像是这样。



这里有两个利用点,简单说下其中一个。在register类的doemailvild()方法中,这里把用户提交的p参数进行了解密,并且传入到了get_user_valid()方法中。

查看get_user_valid()方法,这里又把解密后的值传入到了get_user_by_username()方法。

查看get_user_by_username()方法,又传入了get_user_by_nameid()方法。

查看get_user_by_nameid()方法,直接拼接。

这里基本就清楚了,将auth类的authcode()方法copy本地。

访问本地文件得到加密后的字符串。

将加密后的字符串放到cookie,get或者post中,构造请求提交,延时注入成功。

 
payload
这里有两个,一个是不需要登陆就可注入,另一个是coolcat表哥所说的需要以会员登陆。以下请自行替换p参数。
1、不需要登陆
GET /admin/index.php?n=user&m=web&c=register&a=doemailvild HTTP/1.1
Cookie: p=00c7%2FDBwD23b41olxVCthTvDDTRBhldmrrdyA8S3t%2F3yAl4QZ0P%2FSfOS5zlB
2、 需要登陆
GET /admin/index.php?n=user&m=web&c=profile&a=dosafety_emailadd HTTP/1.1
Cookie: p=497cD9UpkDtsvFzU9IKNlPvSyg1z%2bf09cmp8hqUeyJW9ekvPfJqx8cLKFSHr;
 

【声明】:黑吧安全网(http://www.ylxj.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载