代码审计之gxlcms

这次审计因为对thinkphp框架的不熟悉,中间走了很多弯路,有些tp框架的特定函数不是太了解,因此看代码看的十分吃力,其实上午就已经审计了一套代码,但是没有找到漏洞。。很气。。

源码下载地址:http://www.mycodes.net/45/9251.htm

Gxlcms听书网系统是一套用于搭建有声小说的PHP建站系统,采用ThinkPHP内核开发,性能强大,操作简单,可以通过采集来丰富自己的网站内容,目前Gxlcms已经免费为大家开通了酷听网资源站免费采集节点。

网上搜了一下,应用这个cms的网站很多,不过好像现在还没给出修补方案!

图片[1]-代码审计之gxlcms-安全小百科

这里先大概看下网站功能,有没有留言板,有没有文件上传等功能,然后再去针对特定功能进行代码审计,我发现这样效率会高很多。。

这里由于刚安装完cms后没有没有给出一些样例文章,这里我添加了一篇文章

图片[2]-代码审计之gxlcms-安全小百科

主要还是为了模拟真实网站,不然代码可能有漏洞,但是没有应用接口。。

下面开始说前面的失败思路!

首先看了下没有留言板功能,那么基本不存在xss漏洞了,反射型的就不找了,,鸡肋~

其次这里没有文件上传功能,因此这条路放弃~

到物理路径中去看看是不是存在默认的sql文件,找了下好像要备份才会存在sql文件,找了下好像不存在任意文件读取~

前台的话只可能存在注入了~

下面针对GET、POST参数来进行fuzz

这是目录的url地址,这里应该是伪静态,找一找源码就知道了~

这里只截取了一部分,,可以看到id这个参数是根据dir来设置的,下面去找找这个getlistdir()函数

这里的id是存储在数据库中,不是我们可控的,因此这里不存在注入!

这是网站的搜索功能,看看是否存在post 注入

这里同样也是调用的Lib/Home/Action/目录下的,根据功能来找文件还是很方便的

图片[3]-代码审计之gxlcms-安全小百科

我们很容易就能找到函数位置,SearchAction.class.php!下面跟进函数来看看

这里只截取了一部分,不过主要函数基本都覆盖在里面

首先两个过滤函数,strip_tags和htmlspecialchars,心就凉了。。

一个是过滤html标签,一个是转化为HTML实体,,这里想讲的是因为我这里测试的是注入,不是xss,因此这些过滤条件好像无关紧要,但是tp框架自带的单引号转义,在这里无法闭合语句,因此注入在这里也宣告失败!

这里前台唯一仅剩的功能就是我作测试用所发表的一篇文章。。

那么最后的希望来看看吧~

这里由于没有上传附件,,因此跟文件相关的功能(其实这里也不存在文件下载的功能,因为是云播放,只会给一个播放链接)

图片[4]-代码审计之gxlcms-安全小百科

因此页面还有一个评分的功能,抓包看参数,然后源码回溯~

这是抓到的第一个包,下面我们根据url路径去寻找函数功能点

可以看到这里的id没有任何过滤参数,这里没有回显,因此只能使用时间盲注

exp脚本(环境python2.7)

直接可以拿到管理员的密码

这是第二个包,id为21表示这个文章的序号,val为3表示60分,满分为5

这里首先value就写好是这个五个,因此value不存在注入

这里意外发现了获取ip的变量,难道存在xff注入?

可以看到之类有get_client_ip(),跟进去看看有无过滤什么的

一开始都没过滤,直接拿ip,但是最后有个ip验证,这里稍微查了下ip2long函数,大意就是将ip转化为无符号整形,,好像不存在sql注入~

最后这个id变量好像是存储在数据库里的,我们不可控。。到这里前台的审计就告一段落

下面讲讲后台的一个getshell实例

图片[5]-代码审计之gxlcms-安全小百科

这里附件设置,我们可以直接添加附件上传类型,但是当我加上一个php后,竟然没了。。仿佛就是preg_replace搞得鬼。。然后去源码看了下,,才发现了一个漏洞

将这些字符串进行替换处理,,多少次注入绕过,漏洞代码就是这么写的。。

这里我添加的是pphphp,由于会替换php为空,这里会将中间的第一个php删掉,最后留下php

后台貌似还有很多漏洞。。就不一一列举了~都已经能getshell了,,其他漏洞就显得不是那么重要了(回去好好看tp框架代码了。。)~

如有不当之处,敬请指出!

相关推荐: python小脚本之维吉尼亚密码

维吉尼亚作为古典密码,本身的加解密并不是很难,因此也就有了这篇文章~ 下面初步解释下维吉尼亚密码的加密原理,假设现在有明文‘a’,加密密钥为‘b’,然后我们参照上面的维吉尼亚密码表进行加密,在a行的b列即为我们加密过后的密文,在这里我们的密文即为‘b’。同理,…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论