MetInfo(米拓) v5.1.3任意文件上传漏洞分析附利用EXP

MetInfo 23号发布了新版本5.1.5,修补了本文提到的漏洞,当然严格来说应该是任意变量覆盖漏洞….
ps:欢迎各种形式转载,首发t00ls.net

废话不多说,看代码:

include\common.inc.php 20 – 39

metinfo系统通过查询数据库的{$tablepre}config表,并将获取的结果通过foreach循环初始化表名变量,其中的
是通过代码

来初始化的,然后在系统中使用这样”SELECT * FROM $met_message where id=$id and lang=’$lang’”的SQL查询数据库,
其中的$met_message变量就是前面foreach循环初始化的变量……

我们可以覆盖$tablepre变量使表名初始化失败,进而提交表名变量…..

我找了个后台的上传页面,通过覆盖变量绕过后台验证并且覆盖允许上传后缀列表,构造上传漏洞。
exp:

作者: my5t3ry

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录