记一次审计 xiaocms 的过程

最新推荐文章于 2023-08-18 16:13:03 发布
最新推荐文章于 2023-08-18 16:13:03 发布
阅读量526 收藏
点赞数
分类专栏: 信安之路 文章标签: web安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247486408&idx=1&sn=fca2ce507a2a5c6fa3d0cd43d0870907&chksm=ec1e3be0db69b2f669da1ec8bc7cfdd7d9de152c621a48a75dde246e6f0a032440780d3be8c5&token=511550348&lang=zh_CN#rd
版权

周末在家刚吃完晚饭,基友 DM 叫我一起来审计 xiaocms 系统,也不知道他是受到啥刺激了。正好,除了 Code Review 公司项目代码及框架代码,未审计过其他系统,就当拿来练手了。

代码审计的目的是发现代码中存在的缺陷,并对其进行修复或利用(灰盒测试)。通常是在本地部署一套环境,并进行反复调试直至发现缺陷。

首选需要知道目标代码具备那些功能模块,针对性的对相关模块进行审计排查。其次需要通读带目标代码,知道其功能类的加载顺序、目录结构、方法文件及配置文件路径。

目录结结构

根据上图中的目录,我们先看下前台 index.php 文件内容:

代码量很少,首先定义了一个常量用于保持文件夹路径,随后加载了 core/xiaocms.php 框架文件,最后运行了一个 run() 函数。

我们找到 xiaocms.php 文件并查看,里面大体分为两块部分,最上面定义了一些常量并载入了框架所需的类文件及方法文件,下面则定义了一个类及静态方法。这里都需要去跟踪一下文件,避免走弯路和做无用功的测试。

审计流程

通过这些文件需要知道:

1、如何调用控制器中的对应方法及相关视图

2、框架对超全局变量做了那些处理及限制

3、相关功能模块逻辑及参数校验是否严谨

4、数据库使用 mysql 还是 PDO

经过查看所有的加载文件,排查出几个函数需要我们注意下,如果在代码中有看到它们的出现就直接可以放弃了,避免浪费过多的时间。

上述方法都用到了 htmlspecialchars()函数对传递变量做了转义,转义了双引号尖括号及 & 符。在看数据库查询用的是 参数化查询加PDO ,所以避免浪费时间,碰到模块中使用这些方法处理的接收变量直接放弃。

随后用浏览器打开配置好的 xiaocms 站点,完成数据库的安装。尝试了一下,此处并不存在重复安装数据库的问题,说明这套cms安全意识很好。

开始审计前端控制器,去除安装模块和框架基础类就剩下:controller/index.phpcontroller/post.phpcontroller/api.php 三个文件。

前台文件少内容也相对较少,看了这三个文件的内容并没有发现可以利用的地方。前台暂时看来是没有问题的了,果断放弃

后台控制器文件也并不多,均在 ./admin/controller 文件夹内。将文件全部查看后未发现有效利用的点,外部接收均经过 $this->post()$this->get() 方法过滤。

后台模版编辑后触发文件包含

因为是在本地测试,本着 见框就X 的原则,尝试一遍后台所有能看到的输入框。随后在模板编辑方法内,找到可以 getshell 的方法。

我们在回到产品详情页面,成功 getshell.

分析原因

后台编辑模版 URL:

http://demo.com/admin/index.php?c=template&a=edit&dir=&file=show_product.html

参数:

正如上面看到的,htmlspecialchers_decode() 函数还原了 $this->post() 方法中对特殊字符的转义。

随后提交至 CNVD ,可惜啦,早就被人提交过了 (不过不得不说, CNVD 的响应速度是真的快)

随后在 CNVD 上搜索了一下,这个版本的 xiaocms 被爆过三个洞。分别是 后台登录无效限制爆破文件包含后台任意文件上传

帐号泄漏加无限制爆破

看完 CNVD 中的漏洞描述后,发现可以对 登录无效限制爆破 漏洞进一步扩展,形成一个组合漏洞。

审计中发现 ,刷新缓存 这个功能会向 ./data/cache/ 目录中的特定文件写入 实例化字符串,如果未对该目录做访问控制则可以直接预览到管理员帐号。

现在我们来看下 CNVD 漏洞列表中,验证逻辑漏洞是怎么产生的。

验证跟踪至此处,其代码在校验之前会删除 session 中的值,但变量依然存在的所以本次校验依然有效。只有当第二次请求过来时,才会赋值给 $code 变量一个空值。但是,这特么是全等符。难道被修复了?

为了验证我的猜想,在 github 上找到了一个 2017年7月18日 前的版本:

https://github.com/xyyphp/xiaocms/blob/master/core/controller/Base.class.php

然后看看解压后该文件的修改日期:

对比了一下。好吧,该处已经被修复了。该漏洞的组合使用只限 2017年10月20号 以前的版本 了。

后台任意文件上传

居然这么有缘,那就把 CNVD 列表中的该洞也分析一下吧。我们直接看问题代码:

简单生成一个 PHP 文件,用于复现测试:

echo '<?php phpinfo(); ?>' > poc.php

然后在构造本地提交表单页面:

提交路径指定:

http://xiaocms.com/admin/index.php?c=uploadfile&a=uploadify_upload&type=php&size=1024

即可。

至此该 CMS 的审计结束了,希望对你有所帮助。

myh0st@信安之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XiaoCms 企业建站版 v1.0 build2014.12.29.zip
07-06
XiaoCms企业建站更新说明: 1、修复一些错误 2、更改了一些js 3、商业版增加了QQ登录功能   XiaoCms企业建站版基于PHP Mysql架构 是一款小巧、灵活、简单、易用轻量级cmsXiaoCms该有的功能基本都有,能满足大部分企业站 博客 等小型站点。   XiaoCms系统简介 01. 支持自定义内容模型 通过自定义内容模型和自定义字段可以轻松简单的定制出各种内容模型 如新闻模块、产品模块、下载模块、图片模块。 02. 支持自定义会员模型。 通过自定义会员模型可以扩展各种会员模型 如 个人、企业。 03. 支持自定义表单模型。 通过自定义表单模型可以扩展内容评论、 在线留言、 报名、产品订购、等各种提交表单。 04. 区块管理功能。 05. 支持手机版。 06. 支持url伪静态(需要环境支持 ps:官方网站就是启用了伪静态)。 07. 支持游客投稿。 08. 支持会员投稿,会员模块单独分离可选不安装。 09. 简单易用的后台操作管理方式,小白也懂得怎么用。 10. 灵活的模板标签语言 让制作模板更容易更省时间。 11. 系统开源二次开发简单。 12. 生成静态html功能。 13. 采用pdo数据库驱动提高安全性。 14. 前后台彻底分离,支持更改后台目录。 15. XiaoCms不仅仅是企业建站cms,更是轻量级的万能建站CMS
对ShirneCMS一次审计思路1
08-03
对ShirneCMS一次审计思路1
软件过程执行与审计标准交流.pdf
11-23
软件过程执行与审计标准交流.pdf
XiaoCms企业建站最新官方版
04-03
XiaoCms企业建站最新官方版,XiaoCms企业建站版基于PHP+Mysql架构 是一款小巧、灵活、简单、易用轻量级cmsXiaoCms压缩包仅685k,该有的功能基本都有,能满足大部分企业站、博客等小型站点。XiaoCms系统简介 1.支持自定义内容模型。 通过自定义内容模型和自定义字段可以轻松简单的定制出各种内容模型 如新闻模块、产品模块、下载模块、图片模块。 2.支持自定义会员模型。 通过自定义会员模型可以扩展各种会员模型 如 个人、企业。 3.支持自定义表单模型。 通过自定义表单模型可以扩展内容评论、 在线留言、 报名、产品订购、等各种提交表单。 4.区块管理功能。 5.支持手机版。 6.支持url伪静态(需要环境支持 ps:官方网站就是启用了伪静态)。 7.支持游客投稿。 8.支持会员投稿,栏目限制是否会员能访问,表单支持限制是否会员发布等!。 9.简单易用的后台操作管理方式,小白也懂得怎么用。 10.灵活的模板标签语言 让制作模板更容易更省时间。 11.系统开源二次开发简单。
对SEMCMS一次审计1
08-03
如果想要访问后台的件, 其所有件都存在这段代码:所以跟进查看, 发现内容是:奇安信攻防社区-对SEMCMS再次审计发现会使 checkuser() 函数来进判断
XiaoCms企业建站版 v1.0 bulid2014.06.22
04-03
XiaoCms企业建站版基于PHP+Mysql架构 是一款小巧、灵活、简单、易用轻量级cms。能满足大部分企业 博客 等小型站点。 XiaoCms系统简介 01. 支持自定义内容模型 通过自定义内容模型和自定义字段可以轻松简单的定制出各种内容模型 如新闻模块、产品模块、下载模块、图片模块。 02. 支持自定义会员模型。 通过自定义会员模型可以扩展各种会员模型 如 个人、企业。 03. 支持自定义表单模型。 通过自定义表单模型可以扩展内容评论、 在线留言、 报名、产品订购、等各种提交表单。 04. 区块管理功能。 05. 支持手机版。 06. 支持url伪静态。 07. 支持游客投稿。 08. 支持会员投稿,会员模块单独分离可选不安装。 09. 简单易用的后台操作管理方式,小白也懂得怎么用。 10. 灵活的模板标签语言 让制作模板更容易更省时间。 11. 系统开源二次开发简单。 12. 自定义推荐位。 13. 采用PDO数据库驱动提高安全性。 14. 前后台彻底分离,支持更改后台目录。 15. XiaoCms不仅仅是企业建站cms,更是轻量级的万能建站CMS 2014.06.22 更新录 1、修复bug 2、新增自定义表模型 3、新增相关内容字段 4、新增高级自定义字段 5、新增后台左侧边栏宽度可调节 6、表单和自定义表移动至左侧边栏显示(注:如果没有表单模型和自定义表模型是不会显示的) 7、后台账号密码改为数据库储存,之前是保存在配置文件里面 8、其他的一些小改变就不细说了
一次较为详细的某CMS代码审计
hongduilanjun的博客
08-18 169
本次CMS审计花费了很多时间,一方面因为漏洞点有点多,另一方面也是初学代码审计,不太擅长,经过此次审计后对SQL注入和XSS漏洞有了进一步的了解,也学到了新的思路和知识。也希望此文章能对在学习代码审计的师傅有一些帮助。
cms网站模板上传安装教程
lllljz的专栏
06-02 2521
有时候,我们从网上下载了一些网站模板,准备安装,例如织梦、帝国、wordpress等,但是上传到服务器后就不能用了。 先不要着急,不是模板出问题了,而是你安装的问题。在安装之前,必须把网址改掉,因为在本次测试的时候,通常都用的是local地址,一般是127.0.0.1。你看问题就出在这里,你必须将这个地址更换为你的网址,否则css js文件将无法找到目录。也就回出现版式全部乱掉的问题。
xiaoCMS系统分析
Wake_me_Up123的博客
03-07 1597
加载头部布局信息:{xiao:template header.html}加载底部布局信息:{xiao:tempate footer.html}注:定义这些样式的时候一定要注意各div之间的关系,以防止出现布局混乱的情况。每个页面都要使用公用的头部、底部信息,中间的内容部分在各模块单页面中的kindeditor进行编辑,要保证加入的是html。引用时使用如下语句:{xiao:$content}加载后台
php网站搬家安装方法,XiaoCms 安装搬家教程
weixin_39776239的博客
03-12 248
适用于菜鸟看,熟悉的就路过吧,很简单。php+mysql程序安装搬家教程都类似、xiaocms的安装搬家教程和 dedecms,phpcms ,帝国之类没什么区别1.安装教程安装就不必说了,下载程序后上传至空间访问首页即可进入安装程序,填写数据库配置信息即可安装。2.搬家教程第一步:进入网站后台 :设置》数据库备份》备份数据库》(如果数据库特别大的话推荐用帝国备份王或者直接进入拷贝mysql转移,...
Linux添加用户操作审计.txt
06-17
Linux添加用户操作审计
Seacms代码审计小结(后台多处getshell)1
08-03
框架中,有很多是写的是以 txt 结尾的件,这种直接读是法以 php 来解析,但是如果找到处件包含的漏洞,让他包含的是这种我们可以修改的件,那就也可以造成代码
一次SEMCMS代码审计1
08-03
1. 末尾的 / i 表示对写不敏感 2. 匹配 $sql_str 参数的有关的参数,从下的过滤条件可知过滤了常 3. 所以如果想要构造 SQL 注,就要找到双
XiaoCMS企业建站版 v1.0 bulid2014.05.25
04-03
XiaoCms企业建站版基于PHP+Mysql架构 是一款小巧、灵活、简单、易用轻量级cms。能满足大部分企业 博客 等小型站点。XiaoCms系统简介 01. 支持自定义内容模型 通过自定义内容模型和自定义字段可以轻松简单的定制出各种内容模型 如新闻模块、产品模块、下载模块、图片模块。 02. 支持自定义会员模型。 通过自定义会员模型可以扩展各种会员模型 如 个人、企业。 03. 支持自定义表单模型。 通过自定义表单模型可以扩展内容评论、 在线留言、 报名、产品订购、等各种提交表单。 04. 区块管理功能。 05. 支持手机版。 06. 支持url伪静态。 07. 支持游客投稿。 08. 支持会员投稿,会员模块单独分离可选不安装。 09. 简单易用的后台操作管理方式,小白也懂得怎么用。 10. 灵活的模板标签语言 让制作模板更容易更省时间。 11. 系统开源二次开发简单。 12. 自定义推荐位。 13. 采用PDO数据库驱动提高安全性。 14. 前后台彻底分离,支持更改后台目录。 15. XiaoCms不仅仅是企业建站cms,更是轻量级的万能建站CMS 2014.05.25 更新录 之前抄袭了finecms的代码 此版本已经去除,在此向finecms表示道歉 重新调整了构架,更安全 用户体验更好了。
Laravel框架实现CMS的心得
jcxek的博客
06-12 71
在实现CMS过程中,我深刻体会到了这个庞大而友好的社区所带来的诸多方便与乐趣,也可以借鉴更优秀的第三方组件,并将其融入至我们的应用程序中,形成基础设施。同时,Laravel内置的Blade模板引擎和Form组件,则有助于我们创建直观的页面和交互性元素,并且通过模板继承和布局,能策略掌握CMS前台视图层的复用程度。有很多优秀的第三方模块,如Laravel Adminpanel、Laravel Voyager和Laravel Backpack等,可以帮助我们更加快速地实现前台和后台的功能。
xiaocms不支持mysql_IIS+php 不支持mysql的一个问题以及解决
weixin_33218985的博客
01-19 226
win2003/iis/php/mysql的问题弄了一段时间,发现居然不支持mysql,翻了一下,发现漏了一步: "将libmysql.dll复制到windows目录"第一步 解开php压缩包 你可以把它放在C:\PHP下面第二步 把 C:\PHP下面的 php.ini-dist文件复制到C:WINDOWS目录下并改名成php.ini修改C:\windows\php.ini 文件查找 extens...
xiaocms文件上传GETSHELL
Jian_Sir的专栏
06-02 3181
漏洞描述 xiaocms后台文章发布存在缩略图上传. 该处并没有对文件类型进行校验. 导致可以上传任意文件, 直接getshell. 漏洞分析 通过xiaocms后台的文件上传URL可以得知URL是c=uploadfile&a=uploadify_upload&type=gif,jpg,jpeg,png 根据core/xiaocms.php中的parse_request()可以知道c参
【代码审计XIAOCMS_后台database.php页面存在SQL注入漏洞
12-03 1349
&#13;  &#13; 0x00 环境准备&#13; XIAOCMS官网: http://www.xiaocms.com/&#13; 网站源码版本:XiaoCms (发布时间:2014-12-29)&#13; 程序源码下载:http://www.xiaocms.com/download/XiaoCms_20141229.zip&#13; 测试网站首页:&#13;  &#13...
Xiaocms简单审计
m2a3181的博客
08-07 125
1.访问前端数据流走向 当我们访问前端主页面时,可以看到主要干了三件事,定义一个常量,加载框架文件xiaocms.php,调用静态函数run 注意点: FILE :返回当前文件的绝对路径 dirname():返回当前文件的绝对目录 ...
windows 审计录备份
最新发布
10-16
2. 后续调查:在发生安全事件或违规操作后,备份的审计录可以用于跟踪和分析事件的过程和源头,为后续的调查提供证据和线索。 3. 合规要求:一些行业和组织有法规和合规要求,要求对系统的审计录进行备份和保留...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值