BlueCms代码审计 – 作者:星云博创科技有限公司-安全小百科

BlueCms代码审计 – 作者:星云博创科技有限公司

0×00：前言

对BlueCmsv1.6进行代码审计。虽然平时打ctf较多，但决定自己上限的总归是代码的能力，所以才有了下面这篇文章。审计处漏洞如下：

sql注入漏洞

XSS漏洞

文件包含/上传

代码执行漏洞

0×01：全局配置分析

1. 关键字GET,POST,看过滤情况

2. 看都包含了哪些配置文件

直接转义，所以可以用单引号或者引号闭合的sql注入直接不考虑

$_SERVER被遗漏，所以可以从这方面下手

0×02：审计过程

SQL注入第一处：

路径:/bluecms_1.6/uploads/comment.php

配置文件中没针对$_SERVER进行过滤，直接去找关于处理ip的方法

找一下在哪有调用

成功延时

1' and sleep(10) and '1' = '1

第二处:

路径:/uploads/ad_js.php

未对输入内容过滤，可通过联合查询直接注入

XSS

第一处：

路径:bluecms_1.6/uploads/user.php测试了一下，只有邮件地址可以xss

<script>alert('XSS')</script>

配置文件中可以看到并未对xss进行过滤第二处：路径:uploads/admin/ad.php

很多位置都有xss，不一一例举了

文件包含

路径:uploads/user.php

这个漏洞需要php版本开到5.3.4以下，高版本已经修复了截断漏洞

pay=/../../robots.txt........................................................... ................................................................................ ................................................................................ ................................................................................ ................................................................................ ......

pay=/../../robots.txt%00

注意这里，这个用的是include，所以我们写图片马也能直接引入进来执行，配合文件上传可以getshell

文件上传

路径:/bluecms_1.6/uploads/user.php
黑盒一手，发现未对内容过滤，这样可以配合phar打组合拳，去看一下上传方面的过滤

直接一手白名单，那没事了….现在只考虑有没有地方能触发phar，下面贴一手支持的图

emmm，找了一下，大多数路径都在前面拼接了BLUE_ROOT，没办法让其执行phar://这种形式emmmmm找都找了…自己测一下玩玩了，加入如下代码测试

构造poc如下

<?phpclass A{}$file = new A();$phar = new Phar('phar.phar');$phar->startBuffering();$phar->addFromString('test.txt','text');$phar->setStub('<script language="php">__HALT_COMPILER();</script>'); $phar->setMetadata($file);$phar->stopBuffering();

执行成功触发phar后触发phpinfo页面