目录:
0. 前言
跟着feng师傅学代码审计。。
(抄袭代码审计)
feng
1. 前言
结构:
│ build.php
│ index.php 整个项目的入口,首先引入核心库mc-core.php,然后进行路由,对路由结果进行相应的渲染,相当于MVC中的C
│ install.txt 复制为php文件后,用来安装MiniCMS
│ README.md
│
├─mc-admin 管理功能的实现
│ conf.php 用户设置页面,包括接收和保存更改的设置
│ editor.php 编辑器的大小、样式调整的库
│ foot.php html<foot>标签构造
│ head.php token验证,html<head>标签构造;若验证失败,跳转至主页
│ index.php 后台登陆身份验证页面
│ page-edit.php 页面编写处理逻辑,包括显示编辑页面、接收提交的页面、页面序列化储存
│ page.php 管理页面的库,声明加载数据、删除页面、还原页面(从回收站还原)
│ post-edit.php 文章编写处理逻辑,包括显示编辑页面、接收提交的页面、页面序列化储存
│ post.php 管理文章的库,声明加载数据、删除文章、还原文章(从回收站还原)
│ style.css 后台用到的CSS
│
└─mc-files
│ markdown.php 一个开源的markdown解析库
│ mc-conf.php 配置文件,包含用户名和密码等敏感信息
│ mc-core.php 引入mc-tags、mc-conf,声明404函数
│ mc-rss.php 订购RSS的链接
│ mc-tags.php 相当于M,引入markdown、包括一些核心函数,包括了加载各种信息的函数(网站名、文章数、前进后退等,中间有各种过滤,可以重点分析)
│
├─pages
│ └─index
│ delete.php 使用数组储存了删除页面的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│ draft.php 使用数组储存了草稿页面的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│ publish.php 使用数组储存了已发布的页面的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│
├─posts
│ ├─data 储存了文章内容的反序列化数据(文章内容等)
│ └─index
│ delete.php 使用数组储存了删除的文章的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│ draft.php 使用数组储存了草稿文章的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│ publish.php 使用数组储存了已发布文章的信息(id、标题、标签等)与data文件夹内的文章数据一一对应
│
└─theme
index.php 主题文件,决定了页面的风格,将C传入的信息显示出来,相当于V
style.css 主题使用的CSS风格
feng师傅整起来的CVE:
-
CVE-2018-1000638 反射型XSS
存在位置:/MiniCMS-master/mc-admin/page.php处date参数存在XSS漏洞 -
CVE-2018-10227 储存型XSS
存在位置:/MiniCMS-master/MiniCMS-master/mc-admin/conf.php
在设置中修改网站地址处存在XSS漏洞,可直接储存XSS payload。 -
CVE-2018-10296 储存型XSS 存在位置: /MiniCMS-master/mc-admin/post-edit.php
编辑文章标题处可直接储存XSS payload。 -
CVE-2018-10423
个人认为不是漏洞,只是个BUG,此处的BUG只是网页中的超链接错误地指向了网站根目录,点击后就会去访问网站根目录,这个时候,洞主的apache配置没有关文件遍历,就误认为是CMS的漏洞,显然是不对的,洞主应该是刷分的,没想到竟然过了:)。 -
CVE-2018-10424 物理路径泄露
存在位置:/MiniCMS-master/mc-admin/post-edit.php处将GET的参数id改为不存在的文件名,会爆出物理地址。 -
CVE-2018-15899 反射型XSS
存在位置:/minicms/mc-admin/page.php的GET参数date存在XSS(似乎与CVE-2018-1000638重复了。。)。 -
CVE-2018-16233 反射型XSS
存在位置:/MiniCMS-1.10/mc-admin/post-edit.php处的POST参数tags存在XSS。 -
CVE-2018-16298 反射型XSS
存在位置:/MiniCMS-1.10/mc-admin/post.php的GET参数tag存在XSS。 -
CVE-2018-17039 反射型XSS 存在位置:/mc-admin/index.php使用任意GET参数并取XSS
payload,可在IE浏览器中执行JS。 -
CVE-2018-18890 物理路径泄露
存在位置:post.php?delete=qe54cn&state=delete删除不存在的文章时爆出物理路径。 -
CVE-2018-18891 部分文件删除(逻辑漏洞,删除操作在身份认证之前进行)
存在位置:/mc-admin/post.php?delete=qe54cn&state=delete不用登陆可直接删除文章。 -
CVE-2018-18892 鸡肋的RCE 存在位置:
install.php在安装时在配置处可以向配置文件直接注入PHP代码;由于在MiniCMS安装完毕后此文件会自我删除,在实际情况下并没有太大的作用。 -
CVE-2018-20520 反射型XSS
存在位置:类似于CVE-2018-17039,/MiniCMS1/mc-admin/post-edit.php使用任意GET参数并取XSS
payload,可在IE浏览器中执行JS。 -
CVE-2018-9092 CSRF 存在位置:
http://127.0.0.1//MiniCMS/mc-admin/post.php?delete=aaaaaa&state=publish&date=&tag= 此处的CSRF会导致任意文章删除: -
CVE-2019-9603 CSRF 存在位置:/minicms/mc-admin/conf.php
此处的CSRF会导致任意修改网站配置。
慢慢把这些CVE复现一遍。
MiCMS源码下载 : MiniCMS
CVE-2018-18892 鸡肋的RCE
确实是一个鸡肋的RCE,可以说99.9%是没用的,剩下0.1%就在DJBCTF出现了,太离谱了。
关键就在install.txt,这个文件是要改后缀成php然后进行安装。改成 install.php 。 关键代码是这里:
if (!@file_put_contents('mc-files/mc-conf.php',
"<?php \$mc_config = array(".
"'version' => '/*MINICMS_VERSION*/',".
"'site_link' => '{
$_POST['sitelink']}',".
"'site_name' => '{
$_POST['sitename']}',".
"'site_desc' => '又一个MiniCMS网站',".
"'user_name' => '{
$_POST['username']}',".
"'user_pass' => '{
$_POST['password']}',".
"'user_nick' => '{
$_POST['nickname']}',".
"'comment_code' => '');?>"
)) {
相当于安装的时候进行设置,而且是直接把POST的参数写进了mc-conf.php里面,这个文件是在后面的各种功能里基本上都会require的文件,能直接往里面写马,任意一个POST参数传:
直接