[模板漏洞]Colorful2.6(明月浩空模板)后门解析

    选择打赏方式

2017年10月08日 我意外的收到 某个朋友给我的EMLOG的模板漏洞

这款模板是李明浩的作品吧  另外 我也在他博客里面看到了文章

如下面所说

点击查看原图

这模板的话 有很多人来实现了 我今天也来试一下 能不能实现哈~

步骤开始

首先呢 找到文章内所说的两个文件 favicon.php和image.php

然后 进行分析 你会发现 它们两个文件使用的参数都是file_get_contents

点击查看原图

利用的代码如下

/content/templates/limh.me/function/image.php?url=../../../../config.php

正常访问的话 是空白界面 然而 有蹊跷 如果会代码审计的话 最先开始的肯定就是审查一下网页吧

在网页前面加一个view-source: 然后就出现以下的画面

QQ图片20170911171728.png

我呢 只能说 明浩 你厉害 nb 




---接下来解释一下参数---

file_get_contents函数,参考w3school的定义
file_get_contents() 函数把整个文件读入一个字符串中。
和 file() 一样,不同的是 file_get_contents() 把文件读入一个字符串。
file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。
可以说file_get_contents()是完全可以读取本地文件的,比如file_get_contents("../../../../config.php"),就可以读取config.php文件的内容
那么问题来了,为什么那么多人用模板没人发现这个问题呢,首先image这个文件一开始想到的就是获取图片等操作,至于代码么很容易被忽略掉。


其实原理也很简单

就是通过后门获取数据库账号密码和AUTH_KEY然后通过数据库的密文和AUTH_KEY算出Cookies进入后台

注:进入后台等于拿到了空间权限.可通过后台上传WebShell

然后你们都懂

-------修复方法-------

将file_get_contents()替换成curl函数,※前提是PHP必须开启curl扩展
curl函数呢,比file_get_contents()效率高,速度快,性能好,而且不会读取本地文件。
以下是修复好的完整代码

<?php
header("Content-Type: image/x-icon; charset=utf-8");
function curl_get($url)
{
$ch=curl_init($url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.87 Safari/537.36');
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
$content=curl_exec($ch);
curl_close($ch);
return($content);
}
if(isset($_GET["url"]))
	$file=curl_get("".$_GET['url']);
else
	Header('Location:https://limh.me');
echo $file;
?>


修复代码转载于小健博客:原文地址


版权声明:若无特殊注明,本文皆为《 顾轩 》原创,转载请保留文章出处。
本文链接:[模板漏洞]Colorful2.6(明月浩空模板)后门解析 [https://www.toubiec.cn/73.html]
正文到此结束

热门推荐

发表吐槽

你肿么看?

你还可以输入 250 / 250 个字

暗地观察 大笑 可怜 吃惊 害羞 调皮 鄙视 示爱 大哭 开心 偷笑 嘘 奸笑 委屈 抱抱 愤怒 思考 日了狗 胜利 不高兴 阴险 乖 酷 滑稽

评论信息框
可使用QQ号实时获取昵称+头像

吃奶的力气提交吐槽中...

已有7条吐槽

ZERO

2018-06-30 19:36 广西南宁市电信
买不起正版就别bb,蠢少年

君柯

2018-05-04 01:45 湖南省张家界市电信
face 一些狗比模板作者,留后门也是没谁了。这么玩。

匿名

2018-01-17 23:59 广东省揭阳市移动
啧啧 face ,话说是这两个文件favicon.php和image.php都可以按照你修复后的代码改吗 face

顾轩

2018-01-18 00:03 广东省广州市电信
@匿名:删掉或者修改 随便选一个

李明

2017-10-31 00:37 香港CABLE宽频
这也怪不了谁...

烟雨寒云

2017-10-12 05:56 山西省大同市联通
face 李明浩这种人应该拖出去被日一顿

顾轩

2017-10-12 09:11 广西贵港市移动
@烟雨寒云:怎么说的 他出来澄清了 这也怪不了谁