MetInfo任意文件读取漏洞的示例分析

这篇文章主要为大家展示了“MetInfo任意文件读取漏洞的示例分析”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“MetInfo任意文件读取漏洞的示例分析”这篇文章吧。*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。404实验室内部的WAM(Web应用监控程序，文末有关于WAM的介绍)监控到 MetInfo 版本更新，并且自动diff了文件，从diff上来看，应该是修复了一个任意文件读取漏洞，但是没有修复完全，导致还可以被绕过，本文就是记录这个漏洞的修复与绕过的过程。
MetInfo是一套使用PHP和Mysql开发的内容管理系统。 MetInfo 6.0.0~6.1.0版本中的old_thumb.class.php文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。MetInfo 6.0.0MetInfo 6.1.0看到MetInfo6appsystemincludemoduleold_thumb.class.php从代码中可以看到，$dir直接由$_GET['dir']传递进来，并将../置空。目标是进入到第一个if里面的readfile($dir);，读取文件。看看if语句的条件，里面的是将$dir中包含$_M['url']['site']的部分置空，这里可以不用管。外面是一个strstr函数，判断$dir中http字符串的首次出现位置，也就是说，要进入到这个if语句里面，$dir中包含http字符串即可。从上面的分析可以构造出payload，只要$dir里包含http字符串就可以进入到readfile函数从而读取任意函数，然后可以使用..././来进行目录跳转，因为../会被置空，所以最终payload如下对于这个任意文件读取漏洞，官方一直没补好，导致被绕过了几次。以下几种绕过方式均已提交CNVD，由CNVD通报厂商。根据WAM的监测记录，官方5月份的时候补了免费云主机域名这个漏洞，但是没补完全。看下diff：可以看到，之前的只是把../置空，而补丁是把../和./都置空了。但是这里还是可以绕过。可以使用.....///来跳转目录，.....///经过str_replace置空，正好剩下../，可以跳转。所以payload是在提交第一种绕过方式给CNVD之后，MetInfo没多久就更新了，来看下官方的修复方式。diff：这里加了一个判断，$dir要以http开头，变换一下之前的payload就可以继续绕过了。再次提交之后，官方知悉该绕过方式，又补了一次了。看下diff：看到补丁，又多加了一个判断条件，使用strpos函数查找./首次出现的位置，也就是说不能有./。没了./，在Windows下还可以用..来跳转目录。所以payload遗憾的是，这个只能在Windows环境下面才可以。目前在官网供下载的最新的6.1.0版本中，old_thumb.class.php这个文件已经被删除。以上是“MetInfo任意文件读取漏洞的示例分析”这篇文章的所有内容，感谢各位的阅读！相信大家都有了一定的了解，希望分享的内容对大家有所帮助，如果还想学习更多知识，欢迎关注云编程开发博客行业资讯频道！

相关推荐: TeamViewer 远程代码执行漏洞CVE-2020-13699的通告是怎样的

TeamViewer 远程代码执行漏洞CVE-2020-13699的通告是怎样的，针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。2020年8月6日，TeamViewer官方发布了TeamView…