熊海CMS 1.0代码审计漏洞集合

PHP代码审计 专栏收录该内容
18 篇文章 1 订阅

目录

SQL注入

注入1

注入2

注入3

cookie注入

注入5

XSS

反射型xss1

存储型xss2

 反射型xss3

反射型xss4

存储型xss5

文件包含

越权登录


熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。下载 ——> 熊海cms v1.0

注入和xss漏洞太多,只列举部分

SQL注入

注入1

  • 漏洞位置:content.php
  • 漏洞参数:cid

如下传入的cid参数经过了addslashes函数的过滤处理,能过滤掉引号字符

但是如下语句中cid参数并没有被引号包裹,故addslashes函数对其不生效,存在数字型注入

在cid值后面直接拼接payload:and sleep(5) 成功延时5秒

 Sqlmap注入

注入2

  • 漏洞位置:files/submit.php
  • 漏洞参数:cid、name、 mail、 url
  • 漏洞详情:

 如下,接收的参数直接赋值给变量,未进行任何过滤处理

接着对$content参数内容进行了xss和sql注入过滤处理。所以其他参数都存在注入和xss

最后对参数进行了查询处理。漏洞触发页面如下,点击进行提交

页面跳转,获取数据包,如下在参数cid值后面加单引号报错

注入3

  • 漏洞位置:/admin/files/login.php
  • 漏洞参数:user
  • 漏洞详情:

如下,登录的user值未进行任何过滤,存在注入

 如下

cookie注入

  • 漏洞位置:admin/files/index.php
  • 漏洞参数:cookie值
  • 漏洞详情:

在首页中,看到了包含一个文件如下

定位文件,看到如下,这里读取了cookie中user键的值,然后带入到sql语句中进行查询,而这里并没有进行任何的过滤

所以,注入如下,在admin后面加单引号报错

注入5

  • 漏洞位置:admin/files/newwz.php
  • 漏洞参数:title、author、keywords等
  • 漏洞详情:

如下,接收的参数都没有进行任何过滤

直接带入数据库进行查询

 点击发布文章

加单引号报错

XSS

反射型xss1

  • 漏洞位置:content.php
  • 漏洞参数:cid

如下传入的cid参数未进行xss语句过滤

然后下面对id值也未进行任何处理就直接输出到页面中

存储型xss2

在sql注入2中参数:cid、name、 mail、 url、content参数只有content参数做了过滤sql注入和xss过滤处理,其他都没有所以也存在xss漏洞

如下,留言提交并抓包将名字字段修改为带xss payload

 

 反射型xss3

  • 漏洞位置:files/list.php
  • 漏洞参数:page
  • 漏洞详情:

如下,接收page参数赋值给yema,未进行任何过滤。接着进行了输出,存在反射型xss

如下

反射型xss4

  • 漏洞位置:files/download.php
  • 漏洞参数:page
  • 漏洞详情:

 和反射型xss3一样,page参数为进行过滤

存储型xss5

  • 漏洞位置:admin/files/newwz.php
  • 漏洞参数:title、author、keywords等
  • 漏洞详情:

根据sql注入5,可知对参数也没有进行xss过滤处理,直接将数据插入到数据库

然后直接输出

 

文件包含

  • 漏洞位置:index.php
  • 漏洞详情:

如下,首页中,包含传入过来的变量r的值,如果变量file值为空则包含index.php,否则包含传入过来的值。这里并没有进行过滤

这里需要截断后面的 .php 后缀,这里使用Windows文件名字的特性及Windows文件名的全路径限制进行截断。1.Windows下在文件名字后面加 “.” 不影响文件。2.Windows的文件名的全路径(Fully Qualified File Name)的最大长度为260字节。但是这个是有利用条件的,在我这几次测试过程中, 发现必须同时满足 “php版本=5.2.17、Virtual Directory Support=enable。

我们可以上传一张图片马然后包含,这里为了省事我就直接在目录中放入一个png的图片

poc进行溢出截断

?r=../info.png.......................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................

 成功包含

越权登录

  • 漏洞位置:/inc/checklogin.php
  • 漏洞详情:

在进入到管理员首页时,首先会检测是否是登录的状态

而且判断登录的状态是通过截取cookie中user字段的值来判断是否进行了登录。显然,这种是有缺陷的。我们直接在cookie中添加user=admin即可进行登录

 如下

  • 2
    点赞
  • 3
    评论
  • 5
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 撸撸猫 设计师:马嘣嘣 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值