投稿获客
  1. 创想鸟首页
  2. 用户投稿

MetInfo 任意文件读取漏洞的修复与绕过

程序猿 用户投稿 阅读 0

漏洞简介

metinfo是一套使用phpmysql开发的内容管理系统。 metinfo 6.0.0~6.1.0版本中的 

old_thumb.class.php

文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。

漏洞影响MetInfo 6.0.0MetInfo 6.1.0漏洞分析

看到

MetInfo6appsystemincludemoduleold_thumb.class.php

代码语言:javascript代码运行次数:0运行复制

<?php#MetInfo Enterprise Content Management System#Copyright (C) MetInfo Co.,Ltd (http://www.metinfo.cn). All rights reserved.defined('IN_MET') or exit('No permission');load::sys_class('web');class old_thumb extends web{      public function doshow(){        global $_M;        $dir = str_replace('../', '', $_GET['dir']);        if(strstr(str_replace($_M['url']['site'], '', $dir), 'http')){            header("Content-type: image/jpeg");            ob_start();            readfile($dir);            ob_flush();            flush();            die;        }


从代码中可以看到,dir直接由 _GET'dir'传递进来,并将../置空。目标是进入到第一个 if 里面的readfile(dir);,读取文件。看看 if 语句的条件,里面的是将 dir中包含_M'url'的部分置空,这里可以不用管。外面是一个strstr函数,判断 dir中http字符串的首次出现位置,也就是说,要进入到这个 if 语句里面,


从上面的分析可以构造出 


payload


,只要$dir里包含http字符串就可以进入到readfile函数从而读取任意函数,然后可以使用..././来进行目录跳转,因为../会被置空,所以最终payload 如下


?dir=..././http/..././config/config_db.php


MetInfo 任意文件读取漏洞的修复与绕过


对于这个任意文件读取漏洞,官方一直没补好,导致被绕过了几次。以下几种绕过方式均已提交CNVD,由CNVD通报厂商。


第一次绕过


根据WAM的监测记录,官方5月份的时候补了这个漏洞,但是没补完全。


看下diff


MetInfo 任意文件读取漏洞的修复与绕过


可以看到,之前的只是把../置空,而补丁是把../和./都置空了。但是这里还是可以绕过。可以使用.....///来跳转目录,.....///经过


str_replace


置空,正好剩下../,可以跳转。所以payload是


?dir=.....///http/.....///config/config_db.php


MetInfo 任意文件读取漏洞的修复与绕过


第二次绕过


在提交第一种绕过方式给


CNVD


之后,


MetInfo


没多久就更新了,来看下官方的修复方式。


diff


MetInfo 任意文件读取漏洞的修复与绕过


这里加了一个判断,


$dir


要以


http


开头,变换一下之前的payload就可以继续绕过了。


                                                                        小绿鲸英文文献阅读器                                                                            小绿鲸英文文献阅读器                            


英文文献阅读器,专注提高SCI阅读效率


                                                            小绿鲸英文文献阅读器                                199                                                                                                        查看详情                            小绿鲸英文文献阅读器                                                            


?dir=http/.....///.....///config/config_db.php


MetInfo 任意文件读取漏洞的修复与绕过


第三次绕过


再次提交之后,官方知悉该绕过方式,又补了一次了。


看下diff


MetInfo 任意文件读取漏洞的修复与绕过


看到补丁,又多加了一个判断条件,使用


strpos


函数查找./首次出现的位置,也就是说不能有./。没了./,在Windows下还可以用..来跳转目录。所以payload


?dir=http....configconfig_db.php


MetInfo 任意文件读取漏洞的修复与绕过


遗憾的是,这个只能在Windows环境下面才可以。


最终


目前在官网供下载的最新的6.1.0版本中,


old_thumb.class.php


这个文件已经被删除。


总结


一次次的修补,一次次的绕过,感觉开发者应该是没有理解到漏洞利用的原理,一直以类黑名单的形式在修复,而黑名单的形式总是容易被绕过。除了删除文件外,根据实际功能,可以考虑使用白名单方式修复,例如限定所能读取的文件类型为图片类型。


版权属于:逍遥子大表哥


本文链接:https://cloud.tencent.com/developer/article/1920603


按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。


以上就是MetInfo 任意文件读取漏洞的修复与绕过的详细内容,更多请关注php中文网其它相关文章!


                                                        
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。

发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/404881.html
(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
淘宝直播宠粉日日常合作的具体内容是什么?它具备哪些功能?从话术排练到售后闭环,揭秘主播-商家-粉丝三角关系的长效运营法则!
上一篇 2025年11月6日 20:47:54
动物餐厅2023情人节有哪些兑换码-情人节兑换码2023
下一篇 2025年11月6日 20:48:01

相关推荐

  • composer require-dev和require有什么不同_Composer Require与Require-Dev区别解析 用户投稿

    composer require-dev和require有什么不同_Composer Require与Require-Dev区别解析

    require用于声明项目运行必需的依赖,如框架、数据库组件和第三方SDK,这些包会随项目部署到生产环境;2. require-dev用于声明仅在开发和测试阶段需要的工具,如PHPUnit、PHPStan、Faker等,不会默认部署到生产环境;3. 安装时composer install根据环境决定…

    程序猿的头像 程序猿
    2026年5月10日
    1000
  • 修复Django电商项目中AJAX过滤产品列表图片不显示问题 用户投稿

    修复Django电商项目中AJAX过滤产品列表图片不显示问题

    在Django电商项目中,当使用AJAX动态加载过滤后的产品列表时,常遇到图片无法正常显示的问题。这通常是由于前端模板中图片加载方式(如data-setbg属性结合JavaScript库)与AJAX动态内容更新机制不兼容所致。解决方案是直接在AJAX返回的HTML中使用标准的标签来渲染图片,确保浏览…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 开源免费PHP工具 PHP开发效率提升利器 用户投稿

    开源免费PHP工具 PHP开发效率提升利器

    推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程 用户投稿

    怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程

    首先创建含enctype的HTML表单,再用PHP接收文件,检查目录、移动临时文件,验证类型与大小,生成唯一文件名,并调整php.ini限制以确保上传成功。 如果您尝试在PHP项目中添加图片上传功能,但服务器无法正确接收或保存文件,则可能是由于表单配置、文件处理逻辑或安全限制的问题。以下是实现该功能…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 获取日期中的周数:CodeIgniter 教程 用户投稿

    获取日期中的周数:CodeIgniter 教程

    本教程旨在帮助开发者在 CodeIgniter 框架中,从日期字符串中准确提取周数。我们将使用 PHP 内置的 DateTime 类,并提供详细的代码示例和注意事项,确保您能够轻松地在项目中实现此功能。 使用 DateTime 类获取周数 PHP 的 DateTime 类提供了一种便捷的方式来处理日…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 修复点击时按钮抖动:CSS垂直对齐实践 用户投稿

    修复点击时按钮抖动:CSS垂直对齐实践

    本文探讨了在Web开发中,交互式按钮(如播放/暂停按钮)在点击时发生意外垂直位移的问题。通过分析CSS样式变化对元素布局的影响,我们发现这是由于按钮不同状态下的边框样式和内边距改变,以及默认的垂直对齐行为共同作用所致。核心解决方案是利用CSS的vertical-align属性,将其设置为middle…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 使用 Jupyter Notebook 进行探索性数据分析 用户投稿

    使用 Jupyter Notebook 进行探索性数据分析

    Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • php常量怎么用_PHP常量(define/const)定义与使用方法 用户投稿

    php常量怎么用_PHP常量(define/const)定义与使用方法

    PHP中可通过define函数和const关键字定义常量,用于存储不可变值。define适用于全局作用域,支持动态名称和条件定义,如define(‘SITE_NAME’, ‘MyWebsite’);const在编译时生效,语法简洁但限制多,只能在类或全…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南 用户投稿

    如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南

    HTML表单通过标签构建,包含action和method属性定义数据提交目标与方式,常用input类型如text、password、email等适配不同输入需求,配合label、required、placeholder提升可用性,结合textarea、select、button等控件实现完整交互,是…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 前端缓存策略与JavaScript存储管理 用户投稿

    前端缓存策略与JavaScript存储管理

    根据数据特性选择合适的存储方式并制定清晰的读写与清理逻辑,能显著提升前端性能;合理运用Cookie、localStorage、sessionStorage、IndexedDB及Cache API,结合缓存策略与定期清理机制,可在保证用户体验的同时避免安全与性能隐患。 前端缓存和JavaScript存…

    程序猿的头像 程序猿
    2026年5月10日
    200
  • HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧 用户投稿

    HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧

    首先利用原生touch事件实现滑动判断,再通过preventDefault解决滚动冲突,接着引入Hammer.js处理复杂手势,最后通过优化点击区域、避免事件冲突和增加视觉反馈提升体验。 在移动端浏览器中,HTML5网页可以通过触摸事件实现手势操作,提升用户体验。虽然原生JavaScript提供了基…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • PHP动态生成表单输入与POST数据获取实践指南 用户投稿

    PHP动态生成表单输入与POST数据获取实践指南

    本教程详细阐述了如何在php中根据动态数据源(如数据库值)生成多个表单输入框,并演示了如何通过post方法准确无误地获取这些动态生成的输入值。文章强调了正确的输入框命名策略,避免了常见的命名误区,并提供了完整的代码示例,确保开发者能够高效处理动态表单数据。 动态生成表单输入 在Web开发中,我们经常…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • JavaScript 闭包:理解闭包原理与内存泄漏问题 用户投稿

    JavaScript 闭包:理解闭包原理与内存泄漏问题

    闭包是函数访问其外部作用域变量的能力,即使外部函数已执行完毕。如 inner 函数引用 outer 中的 count,形成闭包,使变量持久存在。闭包本身无害,但可能因延长变量生命周期导致内存泄漏,例如事件监听器引用大对象时。若未及时清理 DOM 事件或定时器,闭包会阻止垃圾回收,造成内存占用过高。解…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • JavaScript 动态菜单点击高亮效果实现教程 用户投稿

    JavaScript 动态菜单点击高亮效果实现教程

    本教程详细介绍了如何使用 JavaScript 实现动态菜单的点击高亮功能。通过事件委托和状态管理,当用户点击菜单项时,被点击项会高亮显示(绿色),同时其他菜单项恢复默认样式(白色)。这种方法避免了不必要的DOM操作,提高了性能和代码可维护性,确保了无论点击方向如何,功能都能稳定运行。 动态菜单高亮…

    程序猿的头像 程序猿
    2026年5月10日
    200
  • JavaScript函数中插入加载动画(Spinner)的正确方法 用户投稿

    JavaScript函数中插入加载动画(Spinner)的正确方法

    本文旨在解决在JavaScript函数中插入加载动画(Spinner)时遇到的异步问题。通过引入async/await和Promise.all,确保在数据处理完成前后正确显示和隐藏加载动画,提升用户体验。我们将提供两种实现方案,并详细解释其原理和优势。 在Web开发中,当执行耗时操作时,显示加载动画…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 动态更新圆形进度条:JavaScript成绩计算器集成指南 用户投稿

    动态更新圆形进度条:JavaScript成绩计算器集成指南

    本文档旨在指导开发者如何将JavaScript成绩计算系统与动态圆形进度条集成,实现可视化展示平均成绩。我们将详细讲解如何修改现有的JavaScript代码,使其在计算出平均分后,能够动态更新圆形进度条的进度,从而提供更直观的用户体验。本文档包含详细的代码示例和注意事项,帮助开发者轻松实现这一功能。…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • MySQL数据库不支持中文的解决办法

    接上一篇文章,在解决了mysql+flask环境配置问题之后,往数据库存中文字符串会报1366错误,提示不正确的字符。继而发现默认的mysql采用了latin1字符集,这种编码是不支持中文的。 如果想支持中文的话,需要设置一下mysql字符集。 众所周知utf-8是可以的,gbk也没问题,为了可扩展…

    程序猿的头像 程序猿
    用户投稿 2026年5月10日
    000
  • PHP多维数组到复杂XML结构的SOAP序列化实践 用户投稿

    PHP多维数组到复杂XML结构的SOAP序列化实践

    本文旨在解决php多维数组向复杂soap xml结构序列化时遇到的“无法序列化结果”问题。通过深入理解soap xml的结构要求,包括命名空间和类型属性,文章将指导您如何构建符合特定xml schema的php关联数组。我们将利用`spatie/array-to-xml`库,详细演示其安装与使用方法…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • JavaScript计算器开发:解决数值显示与初始化问题 用户投稿

    JavaScript计算器开发:解决数值显示与初始化问题

    本教程深入探讨了使用JavaScript构建计算器时常见的数值显示异常问题,特别是由于类属性未初始化导致的`Cannot read properties of undefined`错误。我们将详细分析问题根源,并通过在构造函数中调用初始化方法来解决该问题,同时优化显示逻辑,确保计算器功能稳定且界面显…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 使用 Ajax 和 FormData 实现文件上传及文本数据提交的完整教程 用户投稿

    使用 Ajax 和 FormData 实现文件上传及文本数据提交的完整教程

    本文旨在解决在使用 Ajax 和 FormData 进行文件上传时,遇到的 $_POST 和 $_FILES 为空的问题。通过详细的代码示例和解释,我们将展示如何正确地构建 FormData 对象,并通过 Ajax 将文件和文本数据发送到服务器端,同时避免常见的错误配置,确保数据能够成功地被 PHP…

    程序猿的头像 程序猿
    2026年5月10日
    000

发表回复

登录后才能评论
关注微信