【转】ZZCMS8.1审计学习-安全小百科

作者：shiyan

前言：

很早就想搞代码审计了，但是一直觉得自己其他方面还差很多，所以一直在各种补，虽说学的还没忘的快。这次选择ZZCMS8.1主要是当初，这个CMS自从离心小姐姐审计了一番后，然后我就看到吐司也有人审计，很多地方都开始审计，我就纳闷了，为啥会有这么多人审计，，，，离心给我说，估计是因为这是ZZCMS吧。。。

0X001 HTTP head SQL injection

用户登录处和管理员后台登录处都是用的同样的代码，所以都是可以注射的。

G:zzcms8.1userlogincheck.php 18行—23行

G:zzcms8.1adminlogincheck.php 19行—24行

<br />
$ip=getip();<br />
$sql=”select * from zzcms_login_times where ip=’$ip’ and count>='”.trytimes.”‘ and unix_timestamp()-unix_timestamp(sendtime)<“.jgsj.” “;<br />
$rs = query($sql); //执行一条 MySQL 查询<br />
$row= num_rows($rs); //返回结果集中行的数量

$ip=getip();

$sql=“select * from zzcms_login_times where ip=’$ip’ and count>='”.trytimes.“‘ and unix_timestamp()-unix_timestamp(sendtime)<“.jgsj.” “;

$rs = query($sql); //执行一条 MySQL 查询

$row= num_rows($rs); //返回结果集中行的数量

然后跟进一下 getip() 函数

G:zzcms8.1incfunction.php 72行—84行

<br />
function getip(){<br />
if (getenv(“HTTP_CLIENT_IP”) && strcasecmp(getenv(“HTTP_CLIENT_IP”), “unknown”))<br />
$ip = getenv(“HTTP_CLIENT_IP”); //getenv() 获取一个环境变量的值<br />
else if (getenv(“HTTP_X_FORWARDED_FOR”) && strcasecmp(getenv(“HTTP_X_FORWARDED_FOR”), “unknown”)) //strcasecmp() 比较两个字符串（不区分大小写）,如果一直返回0，否则根据情况返回正负相差的数<br />
$ip = getenv(“HTTP_X_FORWARDED_FOR”);<br />
else if (getenv(“REMOTE_ADDR”) && strcasecmp(getenv(“REMOTE_ADDR”), “unknown”))<br />
$ip = getenv(“REMOTE_ADDR”);<br />
else if (isset($_SERVER[‘REMOTE_ADDR’]) && $_SERVER[‘REMOTE_ADDR’] && strcasecmp($_SERVER[‘REMOTE_ADDR’], “unknown”))<br />
$ip = $_SERVER[‘REMOTE_ADDR’];<br />
else<br />
$ip = “unknown”;<br />
return($ip);<br />
}

function getip(){

if (getenv(“HTTP_CLIENT_IP”) && strcasecmp(getenv(“HTTP_CLIENT_IP”), “unknown”))

$ip = getenv(“HTTP_CLIENT_IP”); //getenv() 获取一个环境变量的值

else if (getenv(“HTTP_X_FORWARDED_FOR”) && strcasecmp(getenv(“HTTP_X_FORWARDED_FOR”), “unknown”)) //strcasecmp() 比较两个字符串（不区分大小写）,如果一直返回0，否则根据情况返回正负相差的数

$ip = getenv(“HTTP_X_FORWARDED_FOR”);

else if (getenv(“REMOTE_ADDR”) && strcasecmp(getenv(“REMOTE_ADDR”), “unknown”))

$ip = getenv(“REMOTE_ADDR”);

else if (isset($_SERVER[‘REMOTE_ADDR’]) && $_SERVER[‘REMOTE_ADDR’] && strcasecmp($_SERVER[‘REMOTE_ADDR’], “unknown”))

$ip = $_SERVER[‘REMOTE_ADDR’];

else

$ip = “unknown”;

return($ip);

}

然后，我们可以看出，HTTP_CLIENT_IP 和 HTTP_X_FORWARDED_FOR 都是可以自己伪造的，并且没有任何限制，所以，这就是一个明显的注入点。

我们就验证下常用的 HTTP_X_FORWARDED_FOR ，来构造下注入语句，测试下。

<br />
X-Forwarded-For: 0.0.0.0′ and sleep(10) and ‘1’=’1

1	X–Forwarded–For: 0.0.0.0‘ and sleep(10) and ‘1‘=’1

在用户登录处或者后台管理页面登录处，用 burp 抓包下，添加下上句的 payload ，然后就可以看出页面延时了10秒，从而证明存在注入。

0X002 Reflected XSS

在根目录的 uploadimg_form.php 文件里，存在两处没有任何过滤的可控输入输出。

G:zzcms8.1uploadimg_form.php 66行—67行

<br />
<input name=”noshuiyin” type=”hidden” id=”noshuiyin” value=”<?php echo @$_GET[‘noshuiyin’]?>” /><br />
<input name=”imgid” type=”hidden” id=”imgid” value=”<?php echo @$_GET[‘imgid’]?>” />

1 2	<input name=“noshuiyin” type=“hidden” id=“noshuiyin” value=“<?php echo @$_GET[‘noshuiyin’]?>“ /> <input name=“imgid” type=“hidden” id=“imgid” value=“<?php echo @$_GET[‘imgid’]?>“ />

可以看出可控参数 noshuiyin 和 imgid 都没有任何过滤，所以我们的 payload 只需要闭合下标签就可以达到攻击效果。

<br />
uploadimg_form.php?noshuiyin=”><script>alert(document.cookie)</script><br />
uploadimg_form.php?imgid=”><script>alert(document.cookie)</script>

1 2	uploadimg_form.php?noshuiyin=“><script>alert(document.cookie)</script> uploadimg_form.php?imgid=”><script>alert(document.cookie)</script>

这个文件也没有权限控制跳转，所以可以直接弹出弹框。

0X003 Storage type XSS

G:zzcms8.1onelink.php 7行—21行

<br />
if (isset($_REQUEST[“action”])==”add”){<br />
checkyzm($_POST[“yzm”]);<br />
session_write_close();<br />
$sitename = isset($_POST[‘sitename’])?$_POST[‘sitename’]:””;<br />
$url = isset($_POST[‘url’])?addhttp($_POST[‘url’]):””;<br />
$logo = isset($_POST[‘logo’])?addhttp($_POST[‘logo’]):””;<br />
$content = isset($_POST[‘content’])?$_POST[‘content’]:””;</p>
<p>if ($sitename==”||$url==”||$logo==”||$content==”){<br />
showmsg(‘请完整填写您的信息’);<br />
}</p>
<p>query(“insert into zzcms_link (sitename,url,logo,content,sendtime)values(‘$sitename’,’$url’,’$logo’,’$content’,'”.date(‘Y-m-d H:i:s’).”‘)”);<br />
showmsg(‘操作成功！提示：提交申请后，请做好本站链接——如果没有增加本站的链接，那么你的申请是不会被通过的。’,’link.php’) ;<br />
}

if (isset($_REQUEST[“action”])==“add”){

checkyzm($_POST[“yzm”]);

session_write_close();

$sitename = isset($_POST[‘sitename’])?$_POST[‘sitename’]:“”;

$url = isset($_POST[‘url’])?addhttp($_POST[‘url’]):“”;

$logo = isset($_POST[‘logo’])?addhttp($_POST[‘logo’]):“”;

$content = isset($_POST[‘content’])?$_POST[‘content’]:“”;

if ($sitename==”||$url==”||$logo==”||$content==”){

showmsg(‘请完整填写您的信息’);

}

query(“insert into zzcms_link (sitename,url,logo,content,sendtime)values(‘$sitename’,’$url’,’$logo’,’$content’,'”.date(‘Y-m-d H:i:s’).“‘)”);

showmsg(‘操作成功！提示：提交申请后，请做好本站链接——如果没有增加本站的链接，那么你的申请是不会被通过的。’,‘link.php’) ;

}

可以看出，这里只对 sitename，url，logo，content 这四个参数判断了一下是否存在和是否为空，然后就存到数据库里了，没有进行任何过滤和其它的验证。

G:zzcms8.1adminlinkmanage.php 127行—140行

<br />
<?php<br />
$rsn=query(“select bigclassname from zzcms_linkclass where bigclassid=”.$row[“bigclassid”].” “);<br />
$rown=fetch_array($rsn); //从结果集中取得一行作为数字数组或关联数组<br />
echo $rown[“bigclassname”]?></a></td><br />
<td><b><?php echo $row[“sitename”]?></b><br><br />
<a href=”<?php echo $row[“url”]?>” target=”_blank”><?php echo $row[“url”]?></a><br><br />
<?php if ($row[“logo”]<>””){?><br />
<img src=”<?php echo $row[“logo”]?>” width=”150″ height=”50″><br />
<?php }else{<br />
echo “未填写LOGO地址”;<br />
}<br />
?> </td><br />
<td><?php echo $row[“content”]?></td><br />
<td><?php echo $row[“sendtime”]?></td>

<?php

$rsn=query(“select bigclassname from zzcms_linkclass where bigclassid=”.$row[“bigclassid”].” “);

$rown=fetch_array($rsn); //从结果集中取得一行作为数字数组或关联数组

echo $rown[“bigclassname”]?></a></td>

<a href=“<?php echo $row[“url”]?>“ target=“_blank”><?php echo $row[“url”]?></a><br>

<?php if ($row[“logo”]<>“”){?>

<img src=“<?php echo $row[“logo”]?>“ width=“150” height=“50”>

<?php }else{

echo “未填写LOGO地址”;

}

?> </td>

在输出的界面代码中也没有任何过滤，所以，这就造成了一个储存型XSS漏洞。

好吧，出现了玄学问题，，，从 link.php 文件里存到数据库的那四个参数，其中 ” > < 都被实体编码了，好玄学，，，那总得出来个审计出来个储存把？

G:zzcms8.1adminlink_save.php 21行—43行

<br />
$FriendSiteName=trim($_REQUEST[“sitename”]);<br />
$url=addhttp(trim($_REQUEST[“url”]));<br />
$logo=addhttp(trim($_REQUEST[“logo”]));<br />
$content=trim($_REQUEST[“content”]);<br />
//trim()移除字符串左侧的字符 默认（””-NULL ，”t”-制表符，”n”-换行，”x0B”-垂直制表符，”r”-回车，” “-空格）<br />
if (isset($_POST[“passed”])){<br />
$passed=$_POST[“passed”];<br />
}else{<br />
$passed=0;<br />
}</p>
<p>if (isset($_POST[“elite”])){<br />
$elite=$_POST[“elite”];<br />
}else{<br />
$elite=0;<br />
}</p>
<p>if ($_REQUEST[“action”]==”add”){<br />
query(“INSERT INTO zzcms_link (bigclassid,sitename,url,logo,content,passed,elite,sendtime)VALUES(‘$classid’,’$FriendSiteName’,’$url’,’$logo’,’$content’,’$passed’,’$elite’,'”.date(‘Y-m-d H:i:s’).”‘)”);<br />
}elseif ($_REQUEST[“action”]==”modify”) {<br />
$id=$_POST[“id”];<br />
query(“update zzcms_link set bigclassid=’$classid’,sitename=’$FriendSiteName’,url=’$url’,logo=’$logo’,content=’$content’,passed=’$passed’,elite=’$elite’,sendtime='”.date(‘Y-m-d H:i:s’).”‘ where id=’$id'”);<br />
}

$FriendSiteName=trim($_REQUEST[“sitename”]);

$url=addhttp(trim($_REQUEST[“url”]));

$logo=addhttp(trim($_REQUEST[“logo”]));

$content=trim($_REQUEST[“content”]);

//trim()移除字符串左侧的字符默认（””-NULL ，”t”-制表符，”n”-换行，”x0B”-垂直制表符，”r”-回车，” “-空格）

if (isset($_POST[“passed”])){

$passed=$_POST[“passed”];

}else{

$passed=0;

}

if (isset($_POST[“elite”])){

$elite=$_POST[“elite”];

}else{

$elite=0;

}

if ($_REQUEST[“action”]==“add”){

query(“INSERT INTO zzcms_link (bigclassid,sitename,url,logo,content,passed,elite,sendtime)VALUES(‘$classid’,’$FriendSiteName’,’$url’,’$logo’,’$content’,’$passed’,’$elite’,'”.date(‘Y-m-d H:i:s’).“‘)”);

}elseif ($_REQUEST[“action”]==“modify”) {

$id=$_POST[“id”];

query(“update zzcms_link set bigclassid=’$classid’,sitename=’$FriendSiteName’,url=’$url’,logo=’$logo’,content=’$content’,passed=’$passed’,elite=’$elite’,sendtime='”.date(‘Y-m-d H:i:s’).“‘ where id=’$id'”);

}

这个是管理后台页面的添加友联，代码和上面的差不多，基本一样，那这里总不会出现玄学问题了吧？

我们从这里插入常见的 payload ，<script>alert(1)</script>。

恩，成功的弹出来了。

0X004 Reload vulnerability

G:zzcms8.1installindex.php 11行/51行—90行

<br />
$step = isset($_POST[‘step’]) ? $_POST[‘step’] : 1;<br />
<?php<br />
switch($step) {<br />
case ‘1’://协议<br />
include ‘step_’.$step.’.php’;<br />
break;<br />
case ‘2’://环境<br />
$pass = true;<br />
$PHP_VERSION = PHP_VERSION;<br />
if(version_compare($PHP_VERSION, ‘4.3.0’, ‘<‘)) {<br />
$php_pass = $pass = false;<br />
} else {<br />
$php_pass = true;<br />
}<br />
$PHP_MYSQL = ”;<br />
if(extension_loaded(‘mysql’)) {<br />
$PHP_MYSQL = ‘支持’;<br />
$mysql_pass = true;<br />
} else {<br />
$PHP_MYSQL = ‘不支持’;<br />
$mysql_pass = $pass = false;<br />
}<br />
$PHP_GD = ”;<br />
if(function_exists(‘imagejpeg’)) $PHP_GD .= ‘jpg’;<br />
if(function_exists(‘imagegif’)) $PHP_GD .= ‘ gif’;<br />
if(function_exists(‘imagepng’)) $PHP_GD .= ‘ png’;<br />
if($PHP_GD) {<br />
$gd_pass = true;<br />
} else {<br />
$gd_pass = false;<br />
}<br />
$PHP_URL = @get_cfg_var(“allow_url_fopen”);//是否支持远程URL，采集有用<br />
$url_pass = $PHP_URL ? true : false;<br />
include ‘step_’.$step.’.php’;<br />
break;<br />
case ‘3’://查目录属性<br />
include ‘step_’.$step.’.php’;<br />
break;<br />
case ‘4’://建数据库<br />
include ‘step_’.$step.’.php’;<br />
break;

$step = isset($_POST[‘step’]) ? $_POST[‘step’] : 1;

<?php

switch($step) {

case ‘1’://协议

include ‘step_’.$step.‘.php’;

break;

case ‘2’://环境

$pass = true;

$PHP_VERSION = PHP_VERSION;

if(version_compare($PHP_VERSION, ‘4.3.0’, ‘<‘)) {

$php_pass = $pass = false;

} else {

$php_pass = true;

}

$PHP_MYSQL = ”;

if(extension_loaded(‘mysql’)) {

$PHP_MYSQL = ‘支持’;

$mysql_pass = true;

} else {

$PHP_MYSQL = ‘不支持’;

$mysql_pass = $pass = false;

}

$PHP_GD = ”;

if(function_exists(‘imagejpeg’)) $PHP_GD .= ‘jpg’;

if(function_exists(‘imagegif’)) $PHP_GD .= ‘ gif’;

if(function_exists(‘imagepng’)) $PHP_GD .= ‘ png’;

if($PHP_GD) {

$gd_pass = true;

} else {

$gd_pass = false;

}

$PHP_URL = @get_cfg_var(“allow_url_fopen”);//是否支持远程URL，采集有用

$url_pass = $PHP_URL ? true : false;

include ‘step_’.$step.‘.php’;

break;

case ‘3’://查目录属性

include ‘step_’.$step.‘.php’;

break;

case ‘4’://建数据库

include ‘step_’.$step.‘.php’;

break;

这个ZZCMS也是通过 install.lock 来判断是否已经安装了的，然后我们根据上面的代码可以看出 step 参数如果为空的话，就默认从 1 开始，然后我们跟进下 step_1.php 这个文件。

G:zzcms8.1installstep_1.php 1行—5行

<br />
<?php<br />
if(file_exists(“install.lock”)){<br />
echo “<div style=’padding:30px;’>安装向导已运行安装过，如需重安装，请删除 /install/install.lock 文件</div>”;<br />
}else{<br />
?>

<?php

if(file_exists(“install.lock”)){

echo “<div style=’padding:30px;’>安装向导已运行安装过，如需重安装，请删除 /install/install.lock 文件</div>”;

}else{

这个文件里判断了当前目录下是否存在 install.lock 文件，如果存在就提示已经安装了，那继续看下 step_2.php 的内容。

G:zzcms8.1installstep_2.php 1行—3行

<br />
<?php<br />
if(@$step==2){<br />
?>

<?php

if(@$step==2){

这里没有继续判断是否存在 install.lock 文件，那继续看下剩下的 step_3/4.php 里有没有判断条件。

G:zzcms8.1installstep_3.php 1行—5行

<br />
<?php<br />
if(@$step==3){<br />
$token = md5(uniqid(rand(), true)); //uniqid() 函数基于以微秒计的当前时间，生成一个唯一的 ID。<br />
$_SESSION[‘token’]= $token;<br />
?>

<?php

if(@$step==3){

$token = md5(uniqid(rand(), true)); //uniqid() 函数基于以微秒计的当前时间，生成一个唯一的 ID。

$_SESSION[‘token’]= $token;

G:zzcms8.1installstep_4.php 1行—9行

<br />
<?php<br />
if(@$step==4){<br />
if ($_POST[‘token’] != $_SESSION[‘token’] || $_POST[‘token’]==” ){<br />
echo “非法提交”.$_POST[‘token’].”<br>”.$_SESSION[‘token’];<br />
exit();<br />
//}else{<br />
//unset($_SESSION[‘token’]);<br />
}<br />
?>