php代码审计学习笔记-xhcms

最新推荐文章于 2024-05-02 14:26:53 发布
最新推荐文章于 2024-05-02 14:26:53 发布
阅读量173 收藏
点赞数
分类专栏: 代码审计 文章标签: php 学习 笔记 代码复审
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75353421/article/details/133376972
版权

这里主要是跟着迪总的教程进行手把手复现,做的一些学习笔记,只有自己动手做了一遍才能学到东西。

环境搭建

  • 小皮面板设置好

  • phpstorm xdebug设置那调成127.0.0.1

  • 访问127.0.0.1直接跳转127.0.0.1/install,因为小皮面板设置过了

  • 这里报错说没有相应的数据库

  • 手动创建数据库,navicat创建xhcms数据库

  • 此时源码安装完成

seay找漏洞——XSS漏洞

  • echo搜索,优先找非后台的,即非/admin目录的

  • 找一个

  • 进来全文追踪一下这个$nav变量

  • 全局定位到$nav后,再全局追踪$resul

  • 找到$resul的是这个mysql_query语句的结果,mysql_query里是$query

  • 再追踪这个$query语句是写死的,所以这个echo处没有漏洞

  • 再看另一处$echo,受到$pages $info两处变量影响

  • 追踪这个$info,它也受$resul影响,所以也是没得漏洞

  • 追踪$pages,发现page是从$_GET[('page')]截出来的,还有个addslashes()函数。这个函数它拦截不了xss的payload,这里就有可能存在xss漏洞

  • 漏洞复现,/files/contact.php处,直接定位到127.0.0.1/files/contact.php,发现报错了。这是因为代码属于MVC架构,直接通过代码的结构去找它对应的web是不对的

  • MVC架构的代码定位它的位置要根据源码的要求来

  • 简单对这个index.php代码做个剖析
<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

1. error_reporting(0);:这行代码关闭了错误报告。这意味着如果代码中有任何错误,它们都不会显示出来。

2. $file=addslashes($_GET['r']);:这行代码从 URL 的查询字符串中获取 'r' 参数的值,并将其赋值给 $file 变量。addslashes() 函数用于在预定义字符前添加反斜杠,可以防止 SQL 注入。

3. $action=$file==''?'index':$file;:这行代码利用了三元运算符。三元运算符的格式是 条件 ? 值1 : 值2。如果条件为真(即非零或非空),则返回值1,否则返回值2。如果 $file 为空字符串(''),那么 $action 的值将被设置为 'index',否则 $action 的值将被设置为 $file 的值

4. include('files/'.$action.'.php');:这行代码包含了一个 PHP 文件,该文件的路径是 'files/' 目录下,文件名是 $action 变量的值,并且文件扩展名是 '.php'。

  • 访问http://127.0.0.1/index.php?r=contact

  • 访问http://127.0.0.1/index.php?r=contact&page=1

  • 看看页面有无参数,构造关键字访问http://127.0.0.1/index.php?r=contact&page=1aaa

  • 源代码搜索确实有1aaa

  • 1aaa对应的源码位置

  • 构造payload http://127.0.0.1/index.php?r=contact&page=1aaa<script>alert(1)<script>,漏洞存在。因为这里有addslashes()函数在,所以alert("")里面出现"会被转义掉

文件包含漏洞

  • 重点看以下的函数:include、 include_once 、require require_once等
  • seay搜索include函数

  • 文件包含有后缀限制,它会自动加上.php后缀

  • 在源码的files目录下有个test.php文件

  • 构造payload,去尝试文件包含 127.0.0.1/?r=test

  • 将test.php改为test.txt,此时构造payoload http://127.0.0.1/?r=../test.txt,没有任何显示,因为会$action后面会自动跟上.php后缀

  • 这里可以通过截断字符绕过,注意windows的截断字符要>256、linux的阶段字符要>4096;payload如下:

http://127.0.0.1/xhcms/?r=test.txt................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

目的是把后面的.php字符截断掉。但是这里对php的版本有要求,php版本必须小于5.3.29。我这里小皮面板没有装好5.2的版本,就换phpstudy来搭建环境了

  • 将test.txt放置在网站根目录WWW的上两级目录,构造payload:

http://127.0.0.1/xhcms/?r=../../../test.txt........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

后记

本次做的比较简单,但是还是能学到很多东西的,后面也会分享更多的审计文章。

ZavaSec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xhcms_2014:新华网CMS改版DEMO【依赖node-server运行】
05-14
xhcms_2014 新华网CMS改版DEMO【依赖node-server运行】
熊海xhcms审计
qq_53856457的博客
05-14 1387
第一次审计,抱着学习的态度,从一个初学者的角度去尝试摸石头过河,踩坑,跳坑,并做个记录吧: 文章目录一、环境安装审计过程先了解一下目录结构一、第一条检测结果 首页/后台文件包含漏洞二、sql注入/admin/files/login.php/admin/files/adset.php报警SQL注入漏洞:/admin/files/editcolumn.php**/admin/files/editlink.php**/admin/files/editsoft.php/admin/files/editwz.php/
xhcms代码审计
qzh3485535的博客
03-18 1608
代码相关文件放入自动审计工具中这里使用了RIPScms搭建好后的样子。
XHCMS靶场小记(熊海)_xhcms靶场搭建,开发岗面试自我介绍
2401_84103844的博客
04-04 622
根目录下的index.php文件;r参数用于获取包含文件的名字,如果没有给r参数赋值则执行file文件夹下的index.php文件,如果r有值则包含file文件夹下的对应php文件,没有则返回空查看file文件夹下的index.php代码;该文件包含了template文件夹下的header.php文件;即r参数不赋值的情况下也会存在文件包含漏洞。
网安之web攻防第四十九天笔记
B_l_a_nk的博客
05-29 315
1、水平越权-同级用户权限共享 2、垂直越权-低高用户权限共享 3、访问控制-验证丢失&取消验证 4、脆弱验证-Cookie&Token&Jwt等
Xhcms 开源CMS代码审计学习
weixin_53884648的博客
09-26 416
xhcms内容管理系统的渗透测试和代码审计学习
XHCMS渗透测试
kiihuang的博客
04-01 385
熊海网站渗透测试这次是黑盒渗透测试
代码审计学习xhcms
shinygod的博客
12-10 1208
代码审计xhcms
熊海cms_v1.0代码审计
RestoreJustice的博客
03-23 546
取出密码与POST提交的密码进行比较验证),且将admin123用户的md5值(这里是1的md5)带进去给password参数进行验证,即可绕过控制台登录界面。将cid参数值写成XSS语句,SQL语句执行错误,将xss语句一并输出显示在页面,造成反射型XSS。使用phpstudy环境搭建,php版本要小于7(我这里使用php5.4),之后要自己新建一个数据库用于安转cms(cms不能自动新建数据库)号来表示不同的留言,对那条留言编辑要提交对应的id。后台注入挺多的,大多是未过滤造成的,这里不一一列举了。
XHcms
Yu3511606536的博客
06-22 792
代码审计XHcms
xhcms_v.1.0的审计
qq_62536279的博客
11-20 637
新手入门审计,持续更新
适合小白的全文通读xhcms练习
m0_46304840的博客
05-22 743
前言 由于我之前都是功能点和敏感函数回溯的,所以我看下新手入门的 xhcms全文通读 说难也不难,说简单也不简单(我技术菜) 准备工具:seay源代码审计工具、burp 正文 0x01.查看目录架构 拿到cms的第一步就是看下cms的架构,看各个文件之间都是干哈的 Index.php 是入口文件 Admin文件夹 Css 就不说了,看着好看的玩意 Files 这里应该就是前台的功能点 Images 一些没用的图片 Inc一般都是配置文件 Install 是安装文件 Seacmseditor 第三方编辑器
94xhcms v1.3.rar
07-05
94xhcms是一套免费的ASP内容管理系统,可选择安装ACCESS版和MSSQL版 系统快速稳定,现有功能支持: 无限级分类,建立门户网站也轻而易举 模块化采集,一键实现远程文档本地化 集成自定义表单,满足各种交互应用 自定义可视化标签,模板风格随时更换 更多功能请下载体验... 安装方法:解压后直接运行install (如:127.0.0.1/install)进行安装。 切记,安装完毕后请手动删除 install 文件夹及其下所有文件。
94xhcms内容管理系统 1.3.rar
05-25
94xhcms是一套免费的ASP内容管理系统,可选择安装ACCESS版和MSSQL版 系统快速稳定,现有功能支持: 1.无限级分类,建立门户网站也轻而易举 2.模块化采集,一键实现远程文档本地化 3.集成自定义表单,满足各种交互应用 4.自定义可视化标签,模板风格随时更换
94xhcms v1.3-ASP源码.zip
12-14
ASP源码,压缩包解压密码:www.cqlsoft.com
94xhcms ASP(生成静态)
05-17
内容索引:ASP源码,CMS系统,94xhcms 94xhcms是基于ASP/Access/MSSQL的网站内容管理系统,全站可以生成静态HTML,支持无限级分类、采集、数据库内容替换、自定义标签、自定义模板等功能,加入了AJAX技术,操作体验很...
【Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 1433
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
supervisor 简单理解
qq_42857358的博客
04-28 270
test.ini文件内容。
Debian 德比安 Nginx + PHP + MySql + beanstalkd + Redis + Node.js
HzqGhost's Blog
04-29 591
网卡模式选择桥接 mirrors.163.com阿里镜像源DeBian 安装软件选择时勾选上apt updateapt install sudo #安装 sudousermod -aG sudo username #添加普通账号到 sudo让 root 可以 SSH配置文件 /etc/ssh/sshd_config找到 PermitRootLogin 选项 并将其值修改为重启ssh先在 VirtualBox 上添加好。
xhcms csrf漏洞
09-03
- *1* *2* *3* [【网络安全】xhCMS代码审计思路](https://blog.csdn.net/HBohan/article/details/121098795)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值