ZZCMS漏洞复现和代码审计

最新推荐文章于 2024-04-30 11:29:45 发布
最新推荐文章于 2024-04-30 11:29:45 发布
阅读量6.7k 收藏 11
点赞数
文章标签: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48511129/article/details/122692991
版权

首先介绍该网站的waf

入口文件对所有用户传过来的参数都进行stopsqlin()函数处理

跟踪stopsqlin()函数,该函数的功能就是判断用户所有传递过来的敏感字符。如果存在就会触发弹窗,从而无法访问网站

查看stopsqlin()函数中的1处stopwords发现是一个关键字常量

在跟进查看stopsqlin()函数中的2处CutFenGeXian()函数,发现他的功能是去掉$sql_injdata字符串左右两边的|

在跟进查看stopsqlin()函数中的3处showmsg()函数,发现是进行一个报错弹窗。

网络waf绕过

直接输入关键字会进行弹窗

这个if判断语句存在漏洞,可以在参数中设置siteconfig.php,label,template.php进行绕过,例如令/index.php?a=select&b=siteconfig.php,这样就会使strpos($r_url, "siteconfig.php")=1,从而绕过stopsqlin()函数的过滤。

成功绕过网站waf

漏洞1:前台sql注入rce

漏洞复现

进行bp抓包,这个参数a=siteconfig.php的作用是绕过网站的waf

在cookie中加入askbigclassid=-1 union select user(),2,3,4,5,6,7,8,9,10,11

成功注出用户名。后续注入和基本的sql注入一样,该user()即可,也可以直接注入木马,这里就不演示了。

漏洞原理

在admin/ask.php文件中发现直接获取$_COOKIE的值,然后拼接sql语句,未进行过滤,直接执行,$_COOKIE["askbigclassid"]这个变量可以由用户端控制。

追溯该语句,发现它是在add()方法中

找到add()参数调用的位置,发现是通过用户输入的do变量进行控制,所有令do=add即可调用add()函数。

调用add()函数后即可控制cookie的值,这里进行代码调试

bp发送的包

进行跟踪,发现成功添加$_COOKIE变量askbigclassid=-1 union select user(),2,3,4,5,6,7,8,9,10,11

继续跟踪,成功注出用户

漏洞2:zzcms重装漏洞

漏洞复现

安装成功zzcms后,再次访问/install/index.php显示已经安装过了

bp抓包,将get请求改为post请求

添加一个post参数step=3

Forward放包发现可以重新安装zzcms

漏洞原理

设置断点,进行代码调试

$step的值默认是1

跟踪到这里,因为$step=1,所以会包含include 'step_1.php'这个文件。

跟进include 'step_1.php',发现输出了"安装向导已运行安装过,如需重安装,请删除 /install/install.lock 文件"

之后回到index.php后直接用break结束。

查看case '2',case '3',case '4',case '5'这些都是进行安装zzcms操作

因为$step变量用户可以控制,所以可以控制参数step的值为2,3,4,5进行zzcms安装,从而绕过case '1'的zzcms已经安装。

漏洞三:zzcms的xss漏洞

漏洞复现

在前台随便注册一个用户

在这里抓取修改注册信息的包

在这个数据包后面添加一个content参数,a=config.php是为了绕过网站waf

成功修改会员资料

查看数据库,发现xss代码成功写入,但是将特殊符号进行html实体转换

在访问/zt/companyshow.php?id=2成功复现xss

代码分析

漏洞存在inc/function.php中的stripfxg方法当中,htmlspecialchars_decode()函数

然后在/zt/companyshow.php中找到了一处可以调用stripfxg方法可以利用的地方

在这里将$gsjj的值赋值给了$strout,然后输出了$strout的值,即输出了$gsjj。说明只要控制$gsjj就可以echo输出xss代码。

$strout是companyshow.htm文件所有数据,并且里面存在{#gsjj}

$gsjj由于$content控制,接下来查找$content

$content是存在companyshow.php的包含文件top.php中,经过测试后发现无法控制这里$content参数,要后台权限,接着改变思路

接着跟踪$row,发现它经过了fetch_array函数处理,在跟进$rs

发现$sql是在数据库中取出的。id参数是由用户传进来的,可控,因为companyshow.php直接包含了top.php,所以可以直接companyshow.php?id=2

接下来就是如何将xss代码存储在zzcms_user数据库当中

在/user/manage.php中发现了$content参数

要执行这条sql语句必须让$action==modify

跟踪$action,发现它是由用户输入的,可以控制。

$content参数可以由网站waf的extract函数来进行定义

进行xdebug调试

进行抓修改注册信息的包

当代码调试到执行sql语句的时候,$content的值为<img src=x οnerrοr=alert(1)>成功将xss语句写入数据库

抓触发xss的包即http://www.zzcms.com/zt/companyshow.php?id=2的数据包

在这里进行了id变量的赋值

在这里查询了数据库中id=2的content值

成功执行了xss

g1ory.
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
zzcms8.2 用户修改密码漏洞
xdjxi的博客
03-03 4347
既然注册的地方存在逻辑漏洞,未对图形验证码做任何防护。那大胆猜测一下,找回密码处也存在漏洞 好的,抓包 这是找回密码的界面,很简单,就一个图形验证,但刚刚已经发现,注册的地方图形验证好像也没什么用,那估计这里也一样。 继续下一步 发现需要验证码,但是邮箱地址是假的啊,上哪找去,emmm,在经过了一般思考后,我决定先把每一步用burp抓包看一下,然后发现它返回的包是这样的 这是一个JavaScript代码 题外话:刚刚检测用户是否存在也是这个提示,或许待会可以试试用户注册重置 先..
ZZCMS审计(XSS)
杨同学的博客
12-10 429
php代码审计
zzcms靶场测试
喜欢创作各种技术类文章,希望可以帮到你
01-23 1622
(1)过滤输入的数据,对例如:“ ‘ ”,“ “ ”,” “,” on* “,script、iframe等危险字符进行严格的检查。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。为了应对这些潜在的风险,企业应采取一系列的安全措施,包括但不限于更新软件至最新的安全补丁版本、加强内部管理和加密敏感信息,同时建立和完善安全策略和措施,并进行定期的安全检查和测试。(3)不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
zzcms审计-另类的漏洞
最新发布
2301_80127209的博客
04-30 234
ZZCMS是专门帮助企业建立招商系统的一个CMS,此次出现问题的是ZZCMS201910和zzcms2020这两个版本(其他的版本我还没有具体去看),此cms的官网为http://www.zzcms.net/他这里最根本的原因就是利用cookie去获取要删除的数据表,却没有对用户可以传入的数据表名字进行限制,这样就导致了可以删除随便哪一张表,只要这个数据表里面含有id这个字段。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。二、漏洞发现过程分析。
Zzzcms 1.75后台地址泄露
09-07
ZZZCMS parserSearch 远程命令执行漏洞和parserSearch 存在模板注入导致远程命令执行漏洞## **二、复现过程** 存在一个比较奇葩的文件直接将一些属于不可访问的zzz_config.php的内容直接给回显了,该信息泄露文件位于plugins/webuploader/js/webconfig.php,可以直接获取到管理后台的管理路径名称,再也不用去爆破admin加3位数字了 通过访问。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
zzcms靶场搭建
Gjqhs的博客
03-03 1392
zzcms8.2需要把install.lock文件删除了,安装 可能不一样,自行删改 http://127.0.0.1/zzcms/install/index.php
ZZCMS代码审计
weixin_55967300的博客
02-16 295
代码审计
(代码审计)zzcms前台SQL注入
Cobra的博客
04-20 581
代码审计
zzcms SP3 漏洞解析
m0_46684679的博客
12-15 3547
zzcms SP3 漏洞解析 cms来源: ZZCMS SP3 URL: www.zzcms.com 作者:壮壮 很老的cms版本,应该没人会用了吧,这里找找简单地漏洞 有使用seay扫描器扫描,但误报率高,只能简单的参考,实际还是得自己动手看代码(…) 1.xss储存型漏洞 范围:Book.php留言界面 测试后: 有轻微的参数过滤痕迹,但并不完全,还是能简单的在管理页面执行恶意xss代码 恶意代码js: <IMG SRC="javascript:alert(1);"
zzcms83代码审计练习
10-24
提供刚刚学习代码审计的同学一起学习,其实也没有什么好说的,由于市面上比较难找,这里提供给大家方便下载,版本是8.3的。
zzcms2020代码审计1
08-03
审计报告来源于奇安信攻防社区,其中包含了对问题的详细分析和复现步骤。 审计首先指出,zzcms是一个发展多年的CMS系统,其官方网站位于http://www.zzcms.net/about/6.htm。审计人员发现的漏洞已向CNVD(中国国家...
ZZCMS201910代码审计1
08-03
对于软件开发者和安全专业人员来说,理解这些过程对于编写更安全的代码和提升系统防护能力至关重要。在进行代码审计时,应该重视所有用户输入,严格过滤和验证,避免直接将未经处理的用户输入拼接到SQL查询中。
zzcms8.3.zip
08-26
1. 安全性检查:代码审计是确保软件安全的重要步骤,ZZCMS 8.3 的源码提供了实践机会,可以学习如何检查SQL注入、XSS攻击、CSRF漏洞等常见安全问题。通过对输入验证、数据过滤、权限控制等方面的分析,我们可以了解...
ZZCMS201910代码审计
ztK63LrD的博客
09-11 3280
现在开始分析zzcms中 产生sql注入的原理以及代码审计的过程。先用seay审计大概过一遍此cms中可能存在的漏洞,然后在admin/ask.php的文件看到这个可能存在漏洞的点,这里的sql语句中$_COOKIE["askbigclassid"]这个参数可控,此时就有一个想法我是不是可以将我所想查询的内容通过构造特殊的sql语句插入到这个变量中,进行自己想查询的东西,这里是不是就完成了一个sql注入攻击。
系统重装漏洞
qq_45301512的博客
03-09 4019
这里简单的说一下,前面的系统重装漏洞没什么好说的,跟zzcms差不多,主要是后面如何获取webshell,fengcms的源代码中存在如下图的一个写入配置文件的代码,也就是fopen那里,字母w意思就是以写入的方式打开文件,然后这里没过滤写入的参数,就会产生任意代码写入配置文件的漏洞。这段代码的意思就是如果post参数中存在step,那么step变量的值就等于post参数中step的值,如果post参数中不存在step,那么step变量的值就等于1。其实就在index.php文件上方的代码中。
ZZCMS搭建
weixin_53323333的博客
06-22 569
4.傻瓜式下一步。
西邮冯景瑜团队挖掘到CVE漏洞,被国家信息安全漏洞库收录公布
yz_weixiao的博客
04-27 300
一直致力于网络空间安全领域的漏洞挖掘研究和探索,在冯景瑜副教授悉心指导下,网络空间安全学院2021级研究生刘正波、刘宇航同学在对开源的内容管理系统(content management system,CMS)进行漏洞挖掘,发现其中的ZZCMS存在一个未授权访问漏洞,禁用浏览器的JavaScript后可以直接访问网站后台,该漏洞可导致未授权用户可以绕过登陆,进入后台执行任意操作。Common Vulnerabilities & Exposures收录该漏洞,编号CVE-2021-43703。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

g1ory.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值