米拓建站系统1day审计与利用

1337163122

​ 米拓建站系统1day审计与利用原创 N1eC [url=]合天网安实验室[/url] 昨天
​
原创稿件征集

邮箱：edu@antvsion.com
QQ：3200599554
黑客与极客相关，互联网安全领域里
的热点话题
漏洞、技术相关的调查或分析
稿件通过并发布还能收获
200-800元不等的稿酬

Metinfocms命令执行
前话：
米拓企业建站系统是一款由长沙某公司自主研发的免费开源企业级CMS，该系统拥有大量的用户使用，及对该款cms进行审计，如果利用CNVD-2021-01930进行进一步深入，其危害的严重性可想而知。
审计过程：
1.Index：拿到源码先看根目录的index.php看看都包含（加载）了什么文件。
​
2.关键词：在/app/system/entrance.php看到了配置文件的定义，全局搜索这’PATH_CONFIG‘参数。
​
全局搜索并找到install/index.php文件下有这个参数，点击跟进查看。
​
在这个文件的219行有个是接收db数据库参数的方法。
官方说明“$_M”数组：
https://doc.metinfo.cn/dev/basics/basics75.html
这里是接收from数据的db_prefix参数。也就是“数据表前缀”内容的值。
​
往下发现是直接写入tableper然后赋值给config变量。
​
并在264行fopen打开/config/config_db.php进行没有安全过滤的字节流（fputs）方式的写入。
​
影响版本：7.3.0- 7.0.0
一、进行7.3.0安装步骤，访问http://127.0.0.1/install/index.php
​
二、选中传统安装继续下一步
​
​

三、数据库信息进行写shell
代码执行Payload："*/@eval($_GET['1']);/*
命令执行Payload："*/@system($_GET['1']);/*
代码执行：
​
​
点击保存进行下一步验证，出现这报错信息，可以查看config\config_db.php文件。
​

​成功写入
​

命令执行：
​
​
​
7.0.0版本：

​

​​​7.1.0版本：
Payload："*/@eval($_GET['1']);@system($_GET['2']);/*

​

​
​​7.2.0版本：
Payload："*/@eval($_GET['1']);@system($_GET['2']);/*
​
​
​
​
推荐实操：MetInfo SQL注入
https://www.hetianlab.com/expc.d ... =weixin-wemedia#stu  
通过该实验掌握MetInfo SQL注入漏洞的原因和利用方法，以及如何修复该漏洞。
​