国内外CMS代码审计实战分析

最新推荐文章于 2023-04-07 15:32:28 发布
最新推荐文章于 2023-04-07 15:32:28 发布
阅读量718 收藏 2
点赞数
分类专栏: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niqiu320/article/details/116242164
版权

国内CMS代码审计实战分析 (阿样发卡网v6.0)

一、前台SQL注入

利用Seay工具,进行审计。
在这里插入图片描述
跟进ajax.php文件
在这里插入图片描述
仔细看这个代码,可以发现这个文件先取POST包中的t参数,然后把取到的参数内容带入数据库中查询if_km表中的out_trade_no ,trade_no,rel 列
在这里插入图片描述
最后再输出代码

虽然这行代码总体看来没问题的且有可能存在注入,不过我们仔细看这里可以发现程序会把取到的参数带入_IF函数中进行过滤
在这里插入图片描述
显然程序对参数进行了过滤,那我们现在看看程序会对什么值进行过滤,然后对症下药
在这里插入图片描述
ajax.php的文件开头可以看出 包含了if/common.php 所以我们把注意转移到if/common.php上
在这里插入图片描述
找到了过滤文件,继续跟进
发现过滤还挺严格的
在这里插入图片描述
既然_if过滤这么严格,那我们就回到ajax.php继续通读代码,看看能不能发现一些额外惊喜
在这里插入图片描述
$out_trade_no变量没有做任何过滤就直接带入了数据库,拿到程序测试一下
在这里插入图片描述
在这里插入图片描述
直接带进去了

二、前台修改管理密码

漏洞位置:admin/ajax.php
漏洞成因:单纯的header头判断
在这里插入图片描述
加入X-Requested-With: XMLHttpRequest 即可绕过判断
继续往下看,
漏洞位置:
在这里插入图片描述
绕过他前面的判断,这里就直接能重置密码了,复现一下试试
在这里插入图片描述
发现重置成功了,但是发现我们登陆不上去
在这里插入图片描述
怎么回事呢,我们去看看代码
在这里插入图片描述
原来我们的新密码要加上他的秘钥再MD5一下,我们直接全局查找$password_hash,找到秘钥
找到秘钥
在这里插入图片描述
生成我们的新密码
在这里插入图片描述
利用刚才的漏洞,修改密码,登陆系统
在这里插入图片描述

后台任意文件上传

漏洞位置:admin/set.php
在这里插入图片描述
只判断了$ext是不是图片类型,并且没有进行一系列的过滤然后传入到了/assets/imgs/里面,名字为logo.xx
在这里插入图片描述
上传成功,访问/assets/imgs/logo.php
在这里插入图片描述
漏洞危害
探测内网服务及内网拓扑
向内部任意主机的任意端口发送精心构造的Payload
DOS攻击(请求大文件,始终保持连接Keep-Alive Always)
攻击内网的web应用,如xss、sql注入等
利用file、dict、gopher等协议读取本地文件等

常用协议
file协议可用于查看文件
dict协议可用于刺探端口
gopher协议支持GET/POST等请求,可用于攻击内网ftp、redis、telnet、smtp等服务

国外CMS实战代码审计分析

Joomla! Core SQL注入漏洞

CVE-2018-8045
受影响版本
Joomla! Joomla! 3.5.0-3.8.5
我们看下漏洞代码
在这里插入图片描述
$categoryId未经过滤直接拼接sql语句进行查询,造成了sql注入。

但是$categoryId参数如何控制呢?

存在漏洞的文件位于\administrator\components\com_users\models\notes.php,是一个joomla的模型文件,它的控制器是\administrator\components\com_users\controllers\notes.php

我们登录joomla后台来看一下在哪里触发这个漏洞。
访问administrator/index.php?option=com_users&view=notes 即可触发该控制器。
在这里插入图片描述
在这里插入图片描述
$categoryId未经过滤直接拼接sql语句进行查询,造成了sql注入。

但是$categoryId参数如何控制呢?

存在漏洞的文件位于\administrator\components\com_users\models\notes.php,是一个joomla的模型文件,它的控制器是\administrator\components\com_users\controllers\notes.php

但是如何控制$categoryId参数呢?
如果只访问administrator/index.php?option=com_users&view=notes
只会向服务器发送一个get请求,请求中根本不包含我们想要的categoryId参数
先看下出问题的这行代码
在这里插入图片描述
因此想向它传参,一定和高级搜索之类功能的有关。

选择Search Tools选项 Select Category选项。

在这里插入图片描述
此时joomla的发包情况
在这里插入图片描述
此时我们需要的filter[category_id]参数出现在了post参数中,通过这个参数的值,即可畅通无阻的进行注入。
下面验证下这个filter[category_id]参部分可以直接传递给后台的$categoryId参数
我们修改了filter[category_id]参数内容为‘kingsguard_test’,并发包
在这里插入图片描述
后台下断点,抓取$categoryId值,可见kingsguard_test 原封不动的被传递给$categoryId参数,并拼接sql语句进行查询。
在这里插入图片描述
利用验证
在这里插入图片描述

香芋320
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计思路
02-24
1.跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。2.根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点找出来,在分析函数调用时的参数,如果参数是用户可控,就很有可能引发安全漏洞理解现在的cms大致可分为两种,单入口模式和多入口模式.多入口模式cms:每一个功能都需要访问不同的文件。单入口模式的cms:MVC的开发出来的So,挖掘漏洞方式1、搜索一些获取用户输入数据的函数,来找到用户输入数据的源头,之后我们从这里为起点,跟踪数据的流向,分析在这整个过程中数据的处理情况,进而定位可能触发漏洞的点。
从多个基础CMS中学习代码审计
最新发布
hongduilanjun的博客
07-31 486
从这两个简单的CMS代码审计中学到了一点知识,简单的总结一下。
SeaCMS_v10.1代码审计实战1
08-03
前言环境因为这个 cms 的官网已经打不开了,所以发一下自己保存的代码可以参照目录下的海洋 CMS 使用手册来进行配置链接 https://pan.baidu.
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先删掉了,还有些工具未进行介绍, 后续有机会再继续。
“快看”cms v1.32代码审计
include_voidmain的博客
07-04 1137
CMS代码审计
网络安全审计之CMS代码审计
kali_Ma的博客
12-29 3201
0x00:环境说明 Windows 10 Phpstuby Php版本:7.2.9 CMS版本:MetInfo7.5.0 0x01:目录结构 |-- about |-- about1 |-- admin |-- app |-- cache |-- case |-- config |-- download |-- favicon.ico |-- feedback |-- hits |-- img |-- include |-- index.php |-- install |-- job |-- member
代码审计之百家cms
qq_44029310的博客
07-25 1138
本文包括环境搭建,xdebug调试配置,以及六个漏洞的复现和分析加调试。
wuzhicms代码审计
RestoreJustice的博客
03-23 277
​ 整个cms的路由从www目录下index.php开始,首先包含/configs/web_config.php加载网站的一些基础配置,主要功能是通过包含核心框架文件coreframe下core.php实现。在coreframe/app/attachment/admin/index.php中对定义了一个my_unlink函数。这里对使用上面提到的array2sql函数对参数值进行过滤。/coreframe/app/template/admin/index.php这个文件中还有一个函数也有同样的问题。
bluecmsv1.6代码审计
qq_42307546的博客
06-28 685
php
Bosscms代码审计
qq_31812157的博客
04-07 290
进入后台后发现可以设置允许上传的类型,于是我们添加php那我们任意找一个上传点进行上传,发现上传失败使用burp抓包看一下上传时调用了哪个文件,发现调用了包含了enter.php继续跟进enter.php调用了继续跟进跟进通过注释明白这个函数是加载class类文件,并且看了一圈并没有其他的功能,所以一定就是加载的上传功能的脚本通过debug发现$file文件位于进入调用了魔术方法,加载了赋值给configDebug跟进,发现加载了同级目录下的读取完json中的内容后回到。
骑士CMS远程代码执行.md
04-11
骑士CMS远程代码执行
php代码审计(简单的CMS,chinaz)
03-04
chinaz CMS,解压即用,用于php代码审计,非MVC框架,简单入门级
骑士CMS 远程代码执行分析 - Panda1
08-03
0x01 知识背景骑 CMS 采的同样是 Thinkphp 框架,不过其版本是 3.2.3,我们知道 3.2.3 的标准 URL 路径如下:http://ser
CMS项目代码以及示例分析
05-05
CMS项目.zip
74cms代码执行漏洞
01-03
74cms代码执行漏洞 docker
blue-cms源码全套
12-13
适合做靶场搭建练习、初入代码审计的小伙伴如果想要通读全文提升读代码能力,练习代码审计也是个不错的选择;源码很全,附带源码网站供其他源码的下载,附网址;亲测可用,phpstudy等都可以搭建的起来哦。
AppCMS_v2.0_代码审计1
08-03
先知社区,先知安全技术社区在 CNVD 上看到个 CMS 存在多种类型的漏洞,对于之前只能审计出 SQL 注和 XSS 的我来说是个较好的学习案例,于是从上找到
搜外CMS插件免费下载自动采集发布
02-12
搜外CMS插件,免费搜外CMS插件,免费下载,全自动采集伪原创发布推送插件
Analysis:我的CMS分析代码
03-06
分析重要说明:此代码的当前版本使用ROOT6和C ++ 11功能。 它与较旧版本的ROOT,即ROOT5不兼容。 当前,略读功能(复制矢量分支)在ROOT版本6.10(CMSSW_9_4_X)中不起作用。 而是应使用ROOT版本6.06(CMSSW_8_0_X)...
帝国cms ajax调用代码
03-27
以下是一个基本的帝国CMS AJAX调用代码示例: ``` function loadDoc() { var xhttp = new XMLHttpRequest(); xhttp.onreadystatechange = function() { if (this.readyState == 4 && this.status == 200) { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值