CVE-2018-19422 Subrion CMS v4.2.1 RCE

漏洞信息

漏洞名称：Subrion 后台文件上传导致 RCE

漏洞编号：CVE-2018-19422

影响版本：subrion < 4.2.1 ( 尚未修复 )

漏洞介绍：后台对上传的文件类型不做限制，而是去使用 .htaccess 来让服务器不去解析上传文件夹下的可执行脚本，但是 .htaccess 过滤不完全导致其可以使用 phar 文件来执行脚本。

环境搭建

官网：https://subrion.org/download/

搭建脚本：https://github.com/rapid7/metasploit-framework/pull/18211

得自己安装 apache 这些才行，使用宝塔、phpstudy 搭建的它不能解析 phar。

漏洞分析

该应用后台对文件上传未作限制，但使用 .htaccess 对 uploads 目录下文件的解析做了限制：

那么在上传 php 类型的文件之后就无法被解析而是直接下载下来，不过这里的黑名单写的不完全，比如 phar 。

在 Linux 安装 apache 时，其默认的会将 phar 当作 PHP 执行 ：

/etc/apache2/mods-enabled/php7.3.conf

那么当我们知道后台的账号密码时，就可以上传 phar 文件拿 shell。

漏洞复现

访问 /panel 登录后台，直接上传 phar 文件：

然后访问 uploads/shell.phar 

学习总结

会由开发者通过 .htaccess 来控制上传目录下的解析，而不是利用代码去检测后缀，比较奇特的一种方式，如果黑名单写的够完全，这种限制方式比较方便。