漏洞描述

EmpireCMS 7.5版本及之前版本在后台备份数据库时,未对数据库表名做验证,通过修改数据库表名可以实现任意代码执行。

这个也是比较鸡肋，还是需要弄到管理员权限，登陆到后台。

漏洞复现

源码下载地址：http://www.phome.net/download

然后安装，安装可参考源码提供的 html 文件

测试执行到第三步即可

设置好各个参数后登陆后台，准备复现漏洞，按照下列顺序执行

第五步需要先开启抓包代理，使用 Burp 抓包，再点击开始备份

然后把 参数tablename 的值改为 phpifno()

点击 Forward 完成备份

关闭抓包，php的版本参数直接就出来了

也可以执行如下操作访问

再将地址栏的 redame.txt 改为config.php

查看目录文件 upload\e\admin\ebak\phome.php ，备份数据库的参数

第72行，接收备份数据库传递的参数,然后传递给Ebak_DoEbak函数中。

然后传递到 upload\e\admin\ebak\class\functions.php 文件中的EbakDOEbak函数中。EbakDOEbak函数接受参数后，将数据库表名传递给变量$tablename。

继续浏览代码,可以看到,遍历表名并赋值给$b_table、$bt​able、d_table,使用RepPostVar函数对表名进行处理,其中$d_table拼接成$dt​able拼接成tb数组时没有对键值名添加双引号。

在生成config.php文件的过程中,对于$d_table没有进行处理,直接拼接到生成文件的字符串中,导致任意代码执行漏洞。