一 前言
前不久逛cnvd的時候看到一款小眾CMS,大型CMS咱也審計不出啥漏洞呀,復盤了下上面的漏洞,仔細看了下,又發現了一些其他的問題,小眾cms可以跟一下具體的流程,了解下漏洞發生的原因,用來練手還是可以的,
二 反射型XSS漏洞
其實像這樣小眾的CMS出現XSS漏洞是比較常見的,而他出現XSS的地方也算是經常遇到的地方,報錯時直接把輸入的資訊在沒有任何安全措施的情況下進行了原樣輸出從而觸發了XSS漏洞,
拿到該CMS的第一步首先簡單看下看下該CMS的URL路由情況,方便定位相關函式
$t = @$_GET['t'] ? $_GET['t'] : "sys";
$n = @$_GET['n'] ? $_GET['n'] : "index";
$c = @$_GET['c'] ? $_GET['c'] : "index";
$a = @$_GET['a'] ? $_GET['a'] : "index";
define("L_TYPE", $t);
define("L_NAME", $n);
define("L_CLASS", $c);
define("L_MODULE", "admin");
define("L_ACTION", "do{$a}");
require_once '../core/route.php';
包含了/core/route.php函式,跟進去看一下
定義了一些常量,在最后呼叫了load類中的module函式, 該函式位于\core\class\load.class.php中
然后呼叫相關函式,該函式會查看傳入的檔案是否存在
如果檔案不存在會將錯誤資訊傳入類LCMS的X函式,該函式位于\core\class\lcms.class.php中,該函式會呼叫template函式生成模板進行錯誤的輸出
然后生成報錯資訊模板
在進行輸出的時候并沒有看到對錯誤進行的任何過濾行為,直接進行了輸出,觸發了反射型XSS
基本上涉及到的這種錯誤輸出都沒有過濾,都存在反射型xss漏洞
三 存盤型XSS漏洞
在通過Seay代碼審計工具自動掃描的時候發現了該CMS獲取客戶端IP的方式存在漏洞,可以進行偽造,并且后臺記錄了登錄成功的IP,但是只會記住登錄成功的用戶的IP,所以只能通過拿下一個低權限的賬號的時候才有可能觸發該存盤XSS,
注冊一個低權限的賬號,然后在登錄的時候進行客戶端IP偽造,發現可以觸發存盤型XSS,
管理員登錄系統,點擊用戶中心—用戶管理處即可觸發儲存型XSS漏洞
定位到IP偽造的相關函式,函式位于\app\sys\login\admin\index.class.php中,獲取客戶端的IP然后進行資料庫的更新
而CLIENT_IP,根據全域變數可知為LCMS::IP(),跟進到相關函式,函式位于\core\class\lcms.class.php中,根據函式可知攻擊者可以在客戶端偽造IP
最后將從客戶端獲取到的IP更新到了資料庫中
當我們點擊用戶中心的時候,查看呼叫的函式\app\sys\user\admin\admin.class.php
從資料庫中取資料然后進行模板的渲染輸出,觸發XSS漏洞
四 任意檔案洗掉
在洗掉備份SQL檔案的時候
跟進到相關函式,函式位于\app\sys\backup\admin\database.class.php中
case 'del':
$file = PATH_WEB . "backup/data/{$_L['form']['name']}";
if (is_file($file)) {
delfile($file);
ajaxout(1, "洗掉成功");
} else {
ajaxout(0, "檔案不存在");
}
break;
跟進到delfile函式,該函式會呼叫path_absolute函式,該函式在 \core\function\file.func.php中存在過濾
function path_absolute($path)
{
$path = PATH_WEB . str_replace([
"../", "./", PATH_WEB,
], "", $path);
$path = str_replace("\/", "\\", $path);
return is_dir($path) ? path_standard($path) : $path;
}
過濾為…/ ./,在windows系統下可以通過…\繞過
五 任意檔案上傳
很少看到有這么干的CMS了,看到的時候還是有些吃驚,有人說這是正常功能,看了寫這個CMS的上傳他的本意應該還是上傳非執行性腳本的意思,初衷并不是希望你可以上傳php檔案,
在設定中心—>安全性能—>格式白名單添加php
然后在設定中心—>后臺設定—>后臺LOGO直接上傳php檔案即可
上傳函式位于\core\class\upload.class.php中,只要php是允許的后綴名即可實作檔案上傳getshell
列印下保存的檔案白名單
跟進下相關函式,位于app\sys\config\admin\admin.class.php中的dosafe函式,該函式會將用戶添加的白名單保存在全域變數中,在校驗白名單時從全域變數中取值導致觸發任意檔案上傳漏洞
六 SQL注入漏洞
這個CMS應該是全部都沒有進行安全檢測的,基本上和資料庫互動的地方都存在SQL注入吧,舉一個例子吧,多了都是同類,
在用戶管理—>添加用戶處
payload: admin1'and(select*from(select+sleep(1))a)='
通過更改sleep時間可以看到sleep函式生效了,執行時間相差了大概1倍,通過查看SQL陳述句執行記錄可知,sleep函式被拼接到了sql陳述句中,并執行了sql陳述句
根據url跟進到漏洞函式,函式位于\app\sys\user\admin\admin.class.php中的doiframe,具體代碼如下,在沒有經過過濾的情況下直接獲取了資料
L 是 全 局 的 變 量 , 包 含 系 統 所 有 的 變 量 數 據 , 打 印 下 可 以 看 到 輸 出 了 網 站 的 所 有 參 數 , 可 以 看 到 _L 是全域的變數,包含系統所有的變數資料,列印下可以看到輸出了網站的所有引數,可以看到 L?是全局的變量,包含系統所有的變量數據,打印下可以看到輸出了網站的所有參數,可以看到_L包含了系統所有的變數資料
name值為拼接了惡意sql陳述句的內容,該值直接拼接到了SQL陳述句中去執行從而觸發了sql注入漏洞
我是一名網安滲透工程師,不僅僅研究滲透,當然,你想學習網路安全的話可以學習網路安全視頻、src技術檔案、工具包、應急回應和代碼審計等,分享給大家
【資料領取】
七 總結
也沒啥亮點吧,很平常的cms流程跟蹤一下就得了
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/290802.html
標籤:其他
上一篇:使用Metasploit滲透攻擊Windows7并遠程執行命令
下一篇:Axure8.0學習筆記(三)