# 米拓建站系统getshell和命令执行
## 漏洞描述
米拓企业建站系统是一款由长沙某公司自主研发的免费开源企业级CMS,该系统拥有大量的用户使用,及对该款cms进行审计,如果利用CNVD-2021-01930进行进一步深入,其危害的严重性可想而知。
## 漏洞影响
> 米拓7.0-7.3
## FOFA
> 不提供,因为我们有这个搭建的官网。。
## 漏洞复现
**审计过程:**
1.Index:拿到源码先看根目录的index.php看看都包含(加载)了什么文件。
2.关键词:在/app/system/entrance.php看到了配置文件的定义,全局搜索这’PATH_CONFIG‘参数。
![image-20210701231300769](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231300769.png)
全局搜索并找到install/index.php文件下有这个参数,点击跟进查看。
![image-20210701231305820](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231305820.png)
在这个文件的219行有个是接收db数据库参数的方法。
官方说明“$_M”数组:
https://doc.metinfo.cn/dev/basics/basics75.html
这里是接收from数据的db_prefix参数。也就是“数据表前缀”内容的值。
![image-20210701231310725](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231310725.png)
往下发现是直接写入tableper然后赋值给config变量。
![image-20210701231314850](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231314850.png)
并在264行fopen打开/config/config_db.php进行没有安全过滤的字节流(fputs)方式的写入。
![image-20210701231319705](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231319705.png)
影响版本:7.3.0- 7.0.0
一、进行7.3.0安装步骤,访问http://127.0.0.1/install/index.php
![image-20210701231326464](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231326464.png)
二、选中传统安装继续下一步
![image-20210701231330931](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231330931.png)
![image-20210701231335205](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231335205.png)
三、数据库信息进行写shell
代码执行Payload:”*/@eval($_GET[‘1’]);/*
命令执行Payload:”*/@system($_GET[‘1’]);/*
代码执行:
![image-20210701231339807](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231339807.png)
![image-20210701231345778](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231345778.png)
点击保存进行下一步验证,出现这报错信息,可以查看config\config_db.php文件。
![image-20210701231349761](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231349761.png)
![image-20210701231354343](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231354343.png)成功写入
![image-20210701231358274](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231358274.png)
命令执行:
![image-20210701231402047](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231402047.png)
![image-20210701231406641](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231406641.png)
![image-20210701231410110](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231410110.png)
7.0.0版本:
![image-20210701231413996](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231413996.png)
![图片](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231417850.png)7.1.0版本:
Payload:”*/@eval($_GET[‘1’]);@system($_GET[‘2’]);/*
![image-20210701231421799](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231421799.png)
![image-20210701231426890](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231426890.png)
![图片](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231434198.png)7.2.0版本:
Payload:”*/@eval($_GET[‘1’]);@system($_GET[‘2’]);/*
![image-20210701231438644](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231438644.png)
![image-20210701231442576](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231442576.png)
![image-20210701231446683](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231446683.png)
![image-20210701231450974](/static/qingy/米拓建站系统getshell和命令执行/img/image-20210701231450974.png)
请登录后查看评论内容