MiniCMS漏洞审计

0. 前言

跟着feng师傅学代码审计。。
（抄袭代码审计）
feng

1. 前言

结构：

│  build.php
│  index.php 整个项目的入口，首先引入核心库mc-core.php，然后进行路由，对路由结果进行相应的渲染，相当于MVC中的C
│  install.txt 复制为php文件后，用来安装MiniCMS
│  README.md
│
├─mc-admin 管理功能的实现
│      conf.php 用户设置页面，包括接收和保存更改的设置
│      editor.php 编辑器的大小、样式调整的库
│      foot.php html<foot>标签构造
│      head.php token验证，html<head>标签构造；若验证失败，跳转至主页
│      index.php 后台登陆身份验证页面
│      page-edit.php 页面编写处理逻辑，包括显示编辑页面、接收提交的页面、页面序列化储存
│      page.php 管理页面的库，声明加载数据、删除页面、还原页面（从回收站还原）
│      post-edit.php 文章编写处理逻辑，包括显示编辑页面、接收提交的页面、页面序列化储存
│      post.php 管理文章的库，声明加载数据、删除文章、还原文章（从回收站还原）
│      style.css 后台用到的CSS
│
└─mc-files
    │  markdown.php 一个开源的markdown解析库
    │  mc-conf.php 配置文件，包含用户名和密码等敏感信息
    │  mc-core.php 引入mc-tags、mc-conf，声明404函数
    │  mc-rss.php 订购RSS的链接
    │  mc-tags.php 相当于M，引入markdown、包括一些核心函数，包括了加载各种信息的函数（网站名、文章数、前进后退等，中间有各种过滤，可以重点分析）
    │
    ├─pages
    │  └─index
    │          delete.php 使用数组储存了删除页面的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │          draft.php 使用数组储存了草稿页面的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │          publish.php 使用数组储存了已发布的页面的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │
    ├─posts
    │  ├─data 储存了文章内容的反序列化数据（文章内容等）
    │  └─index
    │          delete.php 使用数组储存了删除的文章的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │          draft.php 使用数组储存了草稿文章的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │          publish.php 使用数组储存了已发布文章的信息（id、标题、标签等）与data文件夹内的文章数据一一对应
    │
    └─theme
            index.php 主题文件，决定了页面的风格，将C传入的信息显示出来，相当于V
            style.css 主题使用的CSS风格

feng师傅整起来的CVE：

• CVE-2018-1000638 反射型XSS
  存在位置：/MiniCMS-master/mc-admin/page.php处date参数存在XSS漏洞

• CVE-2018-10227 储存型XSS
  存在位置：/MiniCMS-master/MiniCMS-master/mc-admin/conf.php
  在设置中修改网站地址处存在XSS漏洞，可直接储存XSS payload。

• CVE-2018-10296 储存型XSS 存在位置： /MiniCMS-master/mc-admin/post-edit.php
  编辑文章标题处可直接储存XSS payload。

• CVE-2018-10423
  个人认为不是漏洞，只是个BUG，此处的BUG只是网页中的超链接错误地指向了网站根目录，点击后就会去访问网站根目录，这个时候，洞主的apache配置没有关文件遍历，就误认为是CMS的漏洞，显然是不对的，洞主应该是刷分的，没想到竟然过了:)。

• CVE-2018-10424 物理路径泄露
  存在位置：/MiniCMS-master/mc-admin/post-edit.php处将GET的参数id改为不存在的文件名，会爆出物理地址。

• CVE-2018-15899 反射型XSS
  存在位置：/minicms/mc-admin/page.php的GET参数date存在XSS（似乎与CVE-2018-1000638重复了。。）。

• CVE-2018-16233 反射型XSS
  存在位置：/MiniCMS-1.10/mc-admin/post-edit.php处的POST参数tags存在XSS。

• CVE-2018-16298 反射型XSS
  存在位置：/MiniCMS-1.10/mc-admin/post.php的GET参数tag存在XSS。

• CVE-2018-17039 反射型XSS 存在位置：/mc-admin/index.php使用任意GET参数并取XSS
  payload，可在IE浏览器中执行JS。

• CVE-2018-18890 物理路径泄露
  存在位置：post.php?delete=qe54cn&state=delete删除不存在的文章时爆出物理路径。

• CVE-2018-18891 部分文件删除（逻辑漏洞，删除操作在身份认证之前进行）
  存在位置：/mc-admin/post.php?delete=qe54cn&state=delete不用登陆可直接删除文章。

• CVE-2018-18892 鸡肋的RCE 存在位置：
  install.php在安装时在配置处可以向配置文件直接注入PHP代码；由于在MiniCMS安装完毕后此文件会自我删除，在实际情况下并没有太大的作用。

• CVE-2018-20520 反射型XSS
  存在位置：类似于CVE-2018-17039，/MiniCMS1/mc-admin/post-edit.php使用任意GET参数并取XSS
  payload，可在IE浏览器中执行JS。

• CVE-2018-9092 CSRF 存在位置：
  http://127.0.0.1//MiniCMS/mc-admin/post.php?delete=aaaaaa&state=publish&date=&tag= 此处的CSRF会导致任意文章删除：

• CVE-2019-9603 CSRF 存在位置：/minicms/mc-admin/conf.php
  此处的CSRF会导致任意修改网站配置。

慢慢把这些CVE复现一遍。

MiCMS源码下载 ： MiniCMS

CVE-2018-18892 鸡肋的RCE

确实是一个鸡肋的RCE，可以说99.9%是没用的，剩下0.1%就在DJBCTF出现了，太离谱了。
关键就在install.txt，这个文件是要改后缀成php然后进行安装。改成 install.php 。 关键代码是这里：

if (!@file_put_contents('mc-files/mc-conf.php', 
    	"<?php \$mc_config = array(".
    	"'version'   => '/*MINICMS_VERSION*/',".
    	"'site_link' => '{
     $_POST['sitelink']}',".
    	"'site_name' => '{
     $_POST['sitename']}',".
    	"'site_desc' => '又一个MiniCMS网站',".
    	"'user_name' => '{
     $_POST['username']}',".
    	"'user_pass' => '{
     $_POST['password']}',".
    	"'user_nick' => '{
     $_POST['nickname']}',".
    	"'comment_code' => '');?>"
    )) {
   

相当于安装的时候进行设置，而且是直接把POST的参数写进了mc-conf.php里面，这个文件是在后面的各种功能里基本上都会require的文件，能直接往里面写马，任意一个POST参数传：

直接