404实验室内部的WAM(Web应用监控程序，文末有关于WAM的介绍)监控到 MetInfo 版本更新，并且自动diff了文件，从diff上来看，应该是修复了一个任意文件读取漏洞，但是没有修复完全，导致还可以被绕过，本文就是记录这个漏洞的修复与绕过的过程。

　　MetInfo是一套使用PHP和Mysql开发的内容管理系统。 MetInfo 6.0.0~6.1.0版本中的 文件存在任意文件读取漏洞。攻击者可利用漏洞读取网站上的敏感文件。

　　MetInfo 6.0.0

　　MetInfo 6.1.0

　　看到

　　从代码中可以看到，直接由传递进来，并将置空。目标是进入到之一个if里面的，读取文件。看看if语句的条件，里面的是将中包含的部分置空，这里可以不用管。外面是一个函数，判断中字符串的首次出现位置，也就是说，要进入到这个if语句里面，中包含字符串即可。

　　从上面的分析可以构造出payload，只要里包含字符串就可以进入到函数从而读取任意函数，然后可以使用来进行目录跳转，因为会被置空，所以最终payload如下

　　

　　对于这个任意文件读取漏洞，官方一直没补好，导致被绕过了几次。以下几种绕过方式均已提交CNVD，由CNVD通报厂商。

　　根据WAM的监测记录，官方5月份的时候补了这个漏洞，但是没补完全。

　　看下diff：

　　

　　可以看到，之前的只是把置空，而补丁是把和都置空了。但是这里还是可以绕过。可以使用来跳转目录，经过置空，正好剩下，可以跳转。所以payload是

　　

　　在提交之一种绕过方式给CNVD之后，MetInfo没多久就更新了，来看下官方的修复方式。

　　diff：

　　

　　这里加了一个判断，要以开头，变换一下之前的payload就可以继续绕过了。

　　

　　再次提交之后，官方知悉该绕过方式，又补了一次了。

　　看下diff：

　　

　　看到补丁，又多加了一个判断条件，使用函数查找首次出现的位置，也就是说不能有。没了，在Windows下还可以用来跳转目录。所以payload

　　

　　遗憾的是，这个只能在Windows环境下面才可以。

　　目前在官网供下载的最新的6.1.0版本中，这个文件已经被删除。

　　一次次的修补，一次次的绕过，感觉开发者应该是没有理解到漏洞利用的原理，一直以类黑名单的形式在修复，而黑名单的形式总是容易被绕过。除了删除文件外，根据实际功能，可以考虑使用白名单方式修复，例如限定所能读取的文件类型为图片类型。

　　WAM 应用监控：通过监控互联网开源Web应用的版本更新，自动化Diff审计源代码，发送漏洞告警邮件，之一时间发现漏洞及后门植入。

　　目前已支持150种 Web 应用的版本源码监控；

　　支持监控 Web 应用历史版本源码包下载；

　　监控 Web 应用版本发布页面自动下载更新；

　　自动 Diff 版本，比较文件更新，高亮显示，自动审计可疑漏洞或后门；

　　自动邮件告警可以漏洞/后门审计结果。

　　好消息来了，黑哥计划在2018 KCon大会上直接将WAM开源发布。

　　*本文作者Badcode，转自FreeBuf