0x01 背景
上周发的phpcms的漏洞分析,有些伙伴觉得比较复杂,于是便诞生本篇,通过审计一些普通的cms来一步步学习代码审计的技巧。
本篇涉及的源码可以在 此处下载:https://sourceforge.net/projects/fiyo-cms/
0x02 漏洞集合
SQL 注入漏洞
问题文件:\fiyocms\dapur\apps\app_contact\controller\status.php
问题分析:
在问题文件中的第16-25行中使用GET请求接收stat和id参数的值,然后将id参数的值拼接到update操作的SQL语句中。
跟入update方法,在\fiyocms\system\database.php文件中的第210-255行中发现update方法的代码块,然后在文件的第233-239行中,先进行了SQL拼接在传入到prepare方法中,然后再执行SQL语句,因此此处是存在SQL注入漏洞的,且全站使用update方法的可能都存在相同问题。
漏洞验证:
由于该页面并不回显SQL错误信息,所以不能使用SQL报错注入,页面无论正确与否都是一致的所以不能使用布尔盲注,因此可以使用时间盲注来获取数据
使用GET请求如下语句进行like的迭代注入,然后用if进行数据对错的判断,获得正确数据变回延迟5s回显页面,错误数据便会直接回显页面。
[http://127.0.0.1/code/fiyocms/dapur/apps/app_contact/controller/status.php?stat=1&id=1](http://127.0.0.1/code/fiyocms/dapur/apps/app_contact/controller/status.php?stat=1&id=1) and if((select user() like "root@localhost%"),(sleep(5)),1)
任意文件读取:
问题文件: \fiyocms/dapur/apps/app_theme/libs/check_file.php
问题分析:
在问题文件中的第13-26行,使用GET方式接受src,name参数的值,然后再使用$file和 $furl进行数据拼接后,传入file_get_contents函数中。
file_get_contents函数读取到的目标文件在当前页面中进行显示,因此存在任意文件读取的漏洞。
漏洞验证:
为了方便构造和查看路径信息,我在问题文件中加入了如下两行,其中src参数可以用来进行目录跳转,name参数可以用来设置要读取的目标文件名称,然后进行如下请求可以读取任意文件的内容。
[http://127.0.0.1/code/fiyocms/dapur/apps/app_theme/libs/check_file.php?src=..&name=config.php]
任意文件删除
问题文件:fiyocms\dapur\apps\app_config\controller\backuper.php
问题分析:
在问题文件中的第16-30行中使用了unlink函数对POST传入的文件进行删除操作,虽然开始限制了需要在.backup文件夹内的内容,但是可以使用../进行目录跳转,从而删除任意文件。
漏洞验证:
任意文件删除漏洞通常可以结合重装来进行利用,比如fiyocms在index.php首页中会检测是否存在config.php文件,如果不存在便会启动安装过程。
因此可以构造如下请求删除config.php,然后访问首页便会进行重装操作。
Url: [http://127.0.0.1/code/fiyocms/dapur/apps/app_config/controller/backuper.php](http://127.0.0.1/code/fiyocms/dapur/apps/app_config/controller/backuper.php) POST: type=database&file=../config.php
任意文件上传:
问题文件:\fiyocms/dapur/apps/app_theme/libs/save_file.php
问题分析:
在问题文件中的第23-27行中使用了file_put_contents方法将传入的$c文本内容保存到$f相对应的位置上,且这两个变量都是通过POST请求接收到对应参数的值,并没有进行任何的安全处理,所以存在任意文件上传漏洞。
漏洞验证:
首先使用POST请求提交如下内容
Url: [http://127.0.0.1/code/fiyocms/dapur/apps/app_theme/libs/save_file.php](http://127.0.0.1/code/fiyocms/dapur/apps/app_theme/libs/save_file.php) POST: src=./evil.php&content=<?php phpinfo();
然后在进行如下请求验证恶意文件有没有上传成功
url: [http://127.0.0.1/code/fiyocms/dapur/apps/app_theme/libs/evil.php](http://127.0.0.1/code/fiyocms/dapur/apps/app_theme/libs/evil.php)
0x03 总结
本篇仅举了几个例子进行代码审计的分析,其实这个cms还有很多漏洞可以研究学习,大家(萌新)可以参考本篇尝试学习代码审计的过程,然后开始入坑代码审计吧:-)
来源:freebuf.com 2018-01-03 11:17:28 by: 漏斗社区
请登录后发表评论
注册