Bosscms代码审计

最新推荐文章于 2024-06-18 16:56:30 发布
最新推荐文章于 2024-06-18 16:56:30 发布
阅读量324 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31812157/article/details/130013554
版权
文章详细描述了一系列Web应用安全问题,包括任意文件上传漏洞的利用过程,通过Burp抓包分析了上传函数的执行流程。此外,还提到了任意文件删除的漏洞,只需构造特定数据包即可实现。目录遍历漏洞允许攻击者读取任意目录,而任意文件下载则可能导致敏感信息泄露。最后,指出权限校验的逻辑缺陷使得未登录用户也能执行后台功能。
摘要由CSDN通过智能技术生成

任意文件上传漏洞

进入后台后发现可以设置允许上传的类型,于是我们添加php
image.png
那我们任意找一个上传点进行上传,发现上传失败
image.png
使用burp抓包看一下上传时调用了哪个文件,发现调用了system/extend/ueditor/php/controller.php
image.png
controller.php包含了enter.php继续跟进
image.png
enter.php调用了into::load()继续跟进
image.png
跟进self::load_class
image.png
通过注释明白这个函数是加载class类文件,并且看了一圈并没有其他的功能,所以require_once $file;一定就是加载的上传功能的脚本
image.png
通过debug发现$file文件位于system/extend/ueditor/php/ueditor.class.php
image.png
进入ueditor.class.php调用了__construct()魔术方法,into::load_json("config.json")加载了config.json赋值给config
image.png
Debug跟进into::load_json,发现加载了同级目录下的config.json
image.png
读取完json中的内容后回到into.class使用call_user_func方法调用了ueditor.class中的init方法
image.png
init方法根据传入的参数switch选择要使用的方法,这里的config[xxx]就是加载的json文件中的内容
image.png
根据前面抓包传递的参数action=uploadimage,因此调用了是$this->uploadimage()方法
image.png
跟进uploadimage()发现这一段就是上传成功的代码,尤其以upload::files为核心,我们跟进他
image.png
跟进后发现只要满足in_array($ext,$extension) && (!$type || ($type && !$in))就会成功
image.png
抓包后发现第一个条件满足,但是第二个条件不满足
image.png
image.png
image.png
因此我们把!$type || ($type && !$in)单独拿出来,也就是只要$type或者$in任意一个为空就可以为true,我们往上看有一个令$type = null,所以要想办法让if(in_array($k, $tarr))为真才可以
image.png
$ext是我们上传文件的后缀,$vcode中的参数,code中有php类型,$kcode
$tarr$type传来的参数
image.png
全局搜索,发现$k是一个json文件,因此无法修改,因此我们只能让$tarrcode,也就是传入的$type参数中有code
image.png
按住ctrl点击files,发现有个地方传入了code
image.png
发现文件名叫uploadfile
image.png
去json文件搜搜,也就是上传附件会调用这个函数
image.png
最终发现在内容管理中可以上传附件,成功上传php文件
image.png

任意文件删除漏洞

在文件上传的地方发现还可以对文件进行删除,我们可以尝试一下是否有任意文件删除漏洞
image.png
抓个包发现调用了delete方法
image.png
image.png
进入函数,通过抓包发现$path路径其实就是我们要删除的路径,然后通过preg_match正则表达式判断是否是upload开头,如果通过则调用dir::delete删除文件
image.png
进入dir::delete发现并没有对路径进行过滤,self::replace只是对路径进行了优化
image.png
image.png
构造如下数据包即可任意文件删除
image.png

目录遍历漏洞

找到了一个listfile的函数,函数本身没有什么功能点,于是去lists看看
image.png
有一个read方法,进去看看
image.png
功能是打开这个文件夹,用readdir方法读取内容并返回
image.png
那我们如何控制要读取的路径呢,注意arrExist方法
image.png
global $G这个全局变量就是存储传入的任何参数,可以自己debug看看,这里就是将get传参的folder传入$folder
image.png
构造payload

/system/extend/ueditor/php/controller.php?action=listfile&folder=../../../

image.png
查看一下谁调用了lists方法,只要调用了lists方法的函数都可以任意目录读取
image.png
例如这个listimage也可以
image.png

任意文件下载

安全设置 =》 数据备份 =》 备份列表 =》 下载存在任意文件下载
通过路由分析定位到位于system/admin/safe/backup.class.phpdownload方法
通过debug发现似乎对id参数没有做任何的过滤
image.png
测试下载1.txt
image.png
image.png

权限校验处存在逻辑缺陷导致未登录即可调用后台功能

ueditor中包含了admin
image.png
如果$func没有设置,那么就把他设置为init
image.png
之后load_Class调用了admin.classinit方法
image.png
初始化时获取session,如果没获取到那么就跳转,但是没有加die或者exit导致代码还在继续执行
image.png
因此我们只要保存一次后台的数据包,就算没有登录,发送数据包也照样能执行操作,这里抓一个能添加上传类型的数据包,把cookie删除模拟未登录状态
image.png
照样添加成功,可以配合上传webshell
image.png

K0e1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cms代码审计
HBohan的博客
11-17 768
[齐博CMS系统存在命令执行漏洞] 【技术资料】 漏洞利用过程: 1 首先爆出网站跟路径: 访问: /index.php/cms/1 会在debug里看到网站根路径! 如果开了debug的话! 然后根据网站根路径修改poc! 看poc里的注释! 2 利用poc生成 phar文件 poc <?php namespace think\process\pipes { class Windows { private $files = []; public fu
BootCMS网站系统源码 v1.0.zip
08-29
BootCMS 是一款免费的开源内容管理系统,具有 B2C 电子商务特性。它在 PHP + MySQL 下运行... 我们鼓励您开发 BootCMS 插件。 希望您喜欢 BootCMS,就像我喜欢对它编码一样。 我们只追求代码的完美,不追求功能的全面。
BossCMSV1.0代码审计
weixin_45794666的博客
01-25 3381
BossCMSV1.0代码审计 前言 文章先发于先知社区BossCMSV1.0代码审计 以下漏洞均已提交CNVD并被收录 后台任意文件上传 在后台安全设置处添加允许上传类型.php 然后通过ueditor的附件上传即可上传php木马文件getshell 确定位置 先随意找到上传点,然后抓包上传 修改后缀名发送后得到报错信息 {"state":"该文件扩展名不允许上传!"} 审计源码 通过报错信息定位到源码在/system/basic/class/upload.class.php下 else为结果,那
漏洞扫描工具原理/温州互引信息技术有限公司BossCMS存在任意文件删除漏洞_新手攻防教学
最新发布
2401_84915584的博客
06-18 421
一、境外厂商产品漏洞1、GitLab存在命令执行漏洞GitLab是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具
10、BossCms代码审计
Yzz_的博客
03-04 382
【代码】10、BossCms代码审计
从一个小众cms入门代码审计
weixin_30555515的博客
03-21 543
前面有一段时间审计了一个小众的cms发现了很多漏洞,作为一个新手,个人觉得最开始学习代码审计的时候从一些简单的系统学起是很有必要的,比如最开始可以从bwapp、dvwa等,然后再慢慢过渡到一些小众的cms,然后可以过渡到像dede、wordpress这些,虽然不一定能审计出漏洞,但是学习到他们的一些防御机制还是很有收获的(虽然自己还没有到达这个阶段.......Orz) 前言 每个人都...
网络安全审计之CMS代码审计
kali_Ma的博客
12-29 3294
0x00:环境说明 Windows 10 Phpstuby Php版本:7.2.9 CMS版本:MetInfo7.5.0 0x01:目录结构 |-- about |-- about1 |-- admin |-- app |-- cache |-- case |-- config |-- download |-- favicon.ico |-- feedback |-- hits |-- img |-- include |-- index.php |-- install |-- job |-- member
BossCMS-V 1.0.zip系统下载
05-03
BossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0.zipBossCMS-V 1.0...
BootCMS网站系统源码 v1.0.2
04-03
BootCMS 是一款免费的开源内容管理系统,具有 B2C 电子商务特性。它在 PHP + MySQL 下运行... 我们鼓励您开发 BootCMS 插件。 希望您喜欢 BootCMS,就像我喜欢对它编码一样。 我们只追求代码的完美,不追求功能的全面。
高度可配置化的企业管理系统!可免费商用!.rar
07-02
企业网站管理系统:BOSSCMS是一个为企业提供网站建设和网络营销的平台。它可以帮助企业快速建立自己的网站,并通过网络营销扩大企业的影响力。企业网站管理系统通常包括以下功能:1. 内容管理:为企业提供了一个可以...
cms代码审计-详细-Empire CMS v7.5后台XSS
qq_47604261的博客
11-08 364
参考资料(含下载链接) 版本 Empire CMS v7.5 漏洞 xss 复现 1)访问后台 漏洞url http://b.com/e/admin/openpage/AdminPage.php?leftfile=..%2FShopSys%2Fpageleft.php%3Fehash_loRqO%3DNspU9dpDDGEOxrTMIPbV&mainfile=..%2Fother%2FOtherMain.php%3Fehash_loRqO%3DNspU9dpDDGEOxrTMIPbV&ti
“快看”cms代码审计
hackzkaq的博客
09-15 1538
引入转义文件转义防sql注入,变量content经过null_back()函数处理,(该函数可以全局搜索到定义,作用是判断字符串内容是否为空,没有任何过滤)又使用addlashes()方法处理变量,防注入,其他变量都没问题,但这个$_POST[‘content’]变量,不是又经过了双层转义处理?对$_GET[‘cid’]变量,不经过滤,直接单引号包裹,文件头没有引入转义函数文件,带入查询,典型的sql注入:sql注入(但是这里审计出来的代码闭合方式应该是单引号闭合,但是测试却失败了,这是怎么回事?
代码审计之xxcms
温和的跳跃
11-02 379
1.安装工具 我觉得php最简单 然后代码审计的人最多,所以找到一个开源的cms。 安装phpstorm 和cms 还有phpstudy(这个好像也很多漏洞。。) 2.看看后台 使用一下功能 从功能的角度思考(目前在这里……) 3.看代码(还没有进行…… ...
BlueCMS代码审计
eyyer的博客
02-20 1148
对BlueCMS的一次代码审计
代码审计之百家cms
qq_44029310的博客
07-25 1303
本文包括环境搭建,xdebug调试配置,以及六个漏洞的复现和分析加调试。
熊海cms——代码审计
mingyqf的博客
03-07 3926
前言 再基本了解了代码审计的方法后,看着各个师傅的博客跟着他们一步一步代码审计。 审计环境 使用小皮面板,新建网站 接着直接打开网站的install 就可以开始安装了 ps:至于为什么不能用php7.4.3 环境 安装请知道的师傅call 我 万分感谢! 审计过程 先了解文件目录 admin --管理后台文件夹 css --存放css的文件夹 files --存放页面的文件夹 images --存放图片的文件夹 inc
MiniCMS 1.10 代码审计
ximo的博客
04-20 263
前言 前一个bluecms审计的不是很好(第一次审,一点思路都没有)。 这一次,打算先对站点进行一些测试,找到漏洞后,再对应的进行审计。 开始 当然,先扫一波0.0。。 然后看一下网站的结构(因为这个cms比较小,好审): index.php:先引入/mc-files/mc-core.php,再通过该文件引入配置文件mc-conf.php以及定义的函数文件mc-tags.php 前台目录: mc-files: mc-conf.php:主页的配置文件。 mc-core.php:404访问文件;包含
CMS代码审计目录
王嘟嘟的博客
12-03 674
0x00 前言 之前的目录出现了一定的逻辑问题,所以只好重写弄一个cms代码审计的目录。 https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 CMS web渗透测试练习——熊海cms V1.0 ...
“快看”cms v1.32代码审计
include_voidmain的博客
07-04 1280
CMS代码审计
[代码审计]Mini CMS V1.1-最新版
DYBOY-程序开发&网络安全
07-31 827
为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。 有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。 爬虫源码如下: # title: 抓取CNVD漏洞CM...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值