[代码审计]YCCMS V3.4

最新推荐文章于 2024-09-29 22:13:07 发布

Snakin_ya

最新推荐文章于 2024-09-29 22:13:07 发布

阅读量2.1k

点赞数 5

分类专栏：代码审计文章标签： php 开发语言后端

本文链接：https://blog.csdn.net/cosmoslin/article/details/123178882

版权

代码审计专栏收录该内容

2 篇文章 0 订阅

订阅专栏

本文详细分析了YCCMS建站系统的多个安全漏洞，包括远程代码执行（RCE）、未授权管理员密码修改、文件上传及任意文件删除等。通过POC展示了漏洞利用方式，并给出了相应的修复建议，涉及代码审查和权限校验等关键点。

摘要由CSDN通过智能技术生成

CMS简介

YCCMS是一款PHP版轻量级CMS建站系统。程序页面设计简洁，生成静态html，后台功能强大。利于优化、超强收录、超强排名。适合做关键词排名、淘宝客程序，是个人、企业建站的理想选择。

YCCMS采用PHP5+MYSQL做为技术基础进行开发，OOP（面向对象），MVC模块化开发，代码易维护，方便功能扩展和二次开发。更高效、更安全、更稳定。

项目结构

漏洞分析

1 RCE

漏洞利用

POC：

/admin?a=Factory();phpinfo();//../

漏洞分析

利用点在：/public/class/Factory.class.php

$_a为get方法传入的参数，经过file_exists函数检测后调用eval执行代码

ucfirst():将字符串的首字母转换为大写

也就是说我们需要绕过file_exists检测，该函数的作用为检查文件或目录是否存在，并返回布尔值。

该函数允许传入路径中含有特殊符号，当目录中含有/../时会将第一个前的内容当作一个目录处理，而他本身会返回上一个目录，这样就造成了中间字符的逃逸。

也就是说我们可以构造Factory();phpinfo();//../,第一个Factory用来闭合前面实例化对象，之后就是插入的恶意代码，最后返回上级目录满足目录存在。

那么我们就需要找该类被加载的地方，在config/run.inc.php

而该文件又在admin/index.php中被包含，所以最终payload如上。

漏洞修复

可以在文件检测函数前加入判断，过滤字符

if(strpos($_a,"..") !== false ){ header('Location:'.'?a=login');exit(); }
if(strpos($_a,";") !== false ){ header('Location:'.'?a=login');exit(); }

2 未授权管理员密码修改

漏洞利用

POST /admin/?a=admin&m=update HTTP/1.1
username=admin&password=123456&notpassword=123456&send=%E4%BF%AE%E6%94%B9%E5%AF%86%E7%A0%81

漏洞分析

定位到controller/AdminAction.class.php

满足输入参数后就会进入editAdmin()，跟进model/AdminModel.class.php

直接进行了信息更新，这一系列操作并没有对用户身份进行验证，所以造成了任意密码修改。

3 文件上传_1

漏洞点位于后台，未对用户身份进行校验，可未授权上传。

漏洞利用

在系统设置->logo上传

访问view/index/images/logo.php

漏洞分析

定位到controller/CallAction.class.php

跟进LogoUpload，在public/class/LogoUpload.class.php

private $typeArr = array('image/png','image/x-png');
……
//验证类型
	private function checkType() {
		if (!in_array($this->type,$this->typeArr)) {
			Tool::alertBack('警告：LOGO图片必须是PNG格式！');
		}
	}

可以发现仅对Content-Type进行了验证，简单伪造即可

4 文件上传_2

漏洞点位于后台，未对用户身份进行校验，可未授权上传。

漏洞利用

在内容管理->添加文章->上传图片

访问图片位置执行代码即可

漏洞分析

同样定位到controller/CallAction.class.php

跟进FileUpload，在public/class/FileUpload.class.php

private $typeArr = array('image/jpeg','image/pjpeg','image/png','image/x-png','image/gif');		//类型合集
……
//验证类型
	private function checkType() {
		if (!in_array($this->type,$this->typeArr)) {
			Tool::alertBack('警告：不合法的上传类型！');
		}
	}

同样只是对Content-Type进行了验证，简单伪造即可。

5 任意文件删除

漏洞点位于后台，未对用户身份进行校验，可未授权删除。

漏洞利用

POC：

pid%5B0%5D=../important.txt&chkall=on&send=%E5%88%A0%E9%99%A4%E9%80%89%E4%B8%AD%E5%9B%BE%E7%89%87

在其他功能->图片管理->删除选中图片

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6TguOjcB-1646019143996)(…/…/…/…/…/…/…/…/AppData/Roaming/Typora/typora-user-images/image-20220224161033824.png)]