芜湖市住房和城乡建设厅网站首页phpcms 网站标题
前言
自己挖的第一个CVE~
喜提critical
这里简单说一下。
漏洞简介
GDidees CMS <= 3.9.1 的版本,存在一个任意文件上传漏洞。允许登录后的攻击者上传webshell获得网站的权限。
影响版本:
GDidees CMS <= 3.9.1 (其它的我没测。。)
漏洞复现 && 原理
先登录,然后选这个"文件交换"。(法语。。)
这里是可以上传文件的:
然后就是我觉得最离谱的一个点了,这里上传php后会显示后缀类型不对,但是并没有block。。。
为此我特意找了源码看了看,
下载cms源码http://gdidees.eu/userfiles/logiciels/cmsgdidees3.9.1.zip,
Burpsuite抓取上传时的请求包:
POST /_admin/index.php?fadmin=upload HTTP/1.1
找到对应代码处:
审计 control/upload_ressources.php代码
虽然前面做了黑名单判断,但是没有直接返回,所以还会走到34行的if处;
这个if语句第一部分就执行了move_uploaded_file,后续才进行了ext扩展名的判断,导致即使非法扩展名也能通过move_uploaded_file进行上传,进而导致了任意文件上传漏洞。
(抽象的代码逻辑😂)
返回后,点这个绿色的下载,就能访问webshell。
传命令即可执行:
参考
https://github.com/N0zoM1z0/Vuln-Search/blob/main/GdideesCMS.md
https://www.cve.org/CVERecord?id=CVE-2024-46101