PHP代码审计-zzcms
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
环境搭建: 使用phpstudy进行环境搭建 接着进入下一步 然后输入数据库用户名和密码 安装成功。 代码审计 1.任意文件写入漏洞 通过全局搜索,发现 xml_unserialize() 对 parse() 函数进行了调用 接着去搜索xml_serialize()函数的调用情况 在该处发现xml_serialize()函数调用并且参数可控。 parse_str()函数可以把传递的字符串解析为变量,也就是说这里传递过去的字符串可以当做参数进行使用。 我们去跟进下该函数。 大致看下该函数是用于加解密字符串的, $string 参数传入我们需要加解密的字符串,这里也就是我们上述可控的 $code ;$operation 默认为DECODE也就是解密字符串,而 $key 则为加解密的秘钥。 在这里 $code 这里可控,所以下面的 $get['time'] 、 $get['action'] 可控 在代码中判断我们传入的$get['action']方法是否为数组中的其中一个,如果是的话调用该方法,并将$get 、 $post 以参数形式传递。目前可知 $get 、 $post 我们可控。 接着发现 updateapps() 方法中使用 preg_replace() 将我们传入的内容进行正则匹配替换并通过 fwrite() 保存到配置文件。而这里的 $post['UC_API'] 是可控的,所以这里我们可以替换任意内容到配置文件中。 漏洞复现: 由前面的代码分析可知, $code 参数我们需要构造的内容要满足两点: 1、$timestamp - $get['time']> 3600 2、$get['action']=updateapps; 且要通过 _authcode() 解码,所以我们这里要将 $code 的内容先进行编码这里 $code 传入加密后的内容,而 $post 的内容按照XML格式构造才能解析。 POC如下: 配置文件中已经被我们成功写入一句话 2.任意文件删除 全局搜索 unlink() 函数。 我们跟进该文件并向上回溯 unlink() 下 $file 参数是否可控,最终在代码中发现了该文件两个可控参数。 在代码中的 $action 是我们可控的, $mlname 也是我们可控的,这里通过 $mlname 传入文件夹名并遍历出该文件夹下的文件,最终将文件名赋值给 $file ,可以在上述的 unlink() 函数中实现遍历删除文件。 漏洞复现: 通过分析,构造路由进行文件删除测试,通过上面代码过滤了 ../ ,我们通过 ..\ 绕过该处过滤 3.前台XSS漏洞 由于该系统并没有严格的遵循MVC开发模式去开发,大部分的前后端代码都写在一个php文件中,如下面我们看到的这个php文件。在该PHP文件中本应该是有权限校验的,并且该权限还是后台admin权限,但是这里的 $_COOKIE["UserName"] 是我们可以伪造的,以致于可以绕过这里的逻辑校验。 一些MVC框架大多都使用了模板,并没有直接传入参数而是通过模板渲染进行输出的,如果在传输的过程中没有进行过滤或者转义的话也会造成XSS。 漏洞复现: 我们在Cookie中加入UserName值 4.SQL注入漏洞 在全局搜索关键字时发现一处SQL语句参数可控的地方,发现这里的 $classname 参数是可控的 在代码开始处可以看出这里的 dowhat 参数可控,我们可直接控制该参数进入 modifybigclass() 函数。 跟进 modifybigclass() 函数 在该函数中我们可以控制 action 参数走到存在漏洞的if条件中,而由我们上述说提到的这里的classname直接通过POST传入并拼接到SQL语句中,最后通过代码query()执行SQL语句。 query() 中封装了 mysqli_query() 去执行SQL语句。 漏洞复现: 从上面的分析可以看出这里的是存在盲注的,接下来我们用payload测试下 5.逻辑漏洞 在登录测试时发现该处登录页面有验证码和登录次数的校验 首先通过 getip() 获取我们登录的ip地址,大概率这个函数是有问题的。将获取到的IP地址直接拼接在SQL语句中并且在15分钟内登录次数不能尝试超过10次,最后通过 checkyzm() 来进行验证码校验。 getip ()函数中,可以通过XFF的形式获来获取IP地址,所以存在伪造的情况,而下面的 check_isip()则会检测ip地址的合法性,这里防止了SQL注入。 该函数通过判断传入的验证码与SESSION中的验证码是否相同而忽略了验证码可重用的问题。应该对每次提交的验证码进行删除并重新生成SESSION中的验证码,所以这里在设计时是存在逻辑缺陷的。 漏洞复现: 我们根据IP的正则形式通过burp构造请求包来绕过登录次数的检测,抓取登录包 6.SQL注入 全局搜索email from,发现一处sql语句。 发现这里的 $username 参数是可控的 然后直接写入用户的登录次数和登录时间。 在获取 $_COOKIE['dlid'] 的值,然后从表中读取passed 值、然后包含“,”字符。表示群发模式。这串代码主要用于邮件群发功能。没有对执行的语句进行过滤。 漏洞复现: SQL语句select中的条件变量不受单引号保护,可能导致SQL注入漏洞 抓包查看SQL注入点 使用sqlmap进行注入,成功跑出注入点。 7.sql注入3 通过“/admin/baojia_list.php”参数“keyword”进行SQL注入。 发现这里的 $ckeyword参数是可控的 跟进这个fetch_array函数,发现未对输入的参数进行过滤,导致可以产生sql注入。 漏洞复现: keyword=1' AND (SELECT 3526 FROM (SELECT(SLEEP(5)))qvLz)-- Iojq&Submit=%E6%9F%A5%E6%89%BE 8.敏感信息泄露 漏洞复现: 漏洞地址1: http://119.28.176.129/index.php?_SERVER poc:/index.php?_SERVER 漏洞地址2: http://demo.zzcms.net/index.php?\_SERVER 127.0.0.1/admin/index php?_ Server poc:/admin/index php?_ Server REF: https://xz.aliyun.com/t/10090 https://wx.zsxq.com/dweb2/index/footprint/88455551854122 https://blog.csdn.net/qq_53123067/article/details/126805823 原文首发在:奇安信攻防社区 https://forum.butian.net/share/2181 文章来源:亿人安全
- 上一篇:记一个 XSS 通杀0day
- 下一篇:代码审计-闪灵cms