seaCMS v12.9代码审计学习(上半)

最新推荐文章于 2024-10-16 16:55:49 发布
最新推荐文章于 2024-10-16 16:55:49 发布
阅读量841 收藏 14
点赞数 22
文章标签: 代码审计 php 渗透测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62612080/article/details/142478791
版权

文章目录

CMS介绍

海洋cms是一款经典的开源影视建站系统,采用php语言编写。网上有很多佬已经审出0day了,海洋cms也在不断的更新,修bug,这次审计使用的是12.9的版本,非常适合php代码审计的学习。

环境搭建

phpstorm+xdebug
phpstudy
seacms v12.9安装包:https://github.com/seacms-net/CMS/

代码总览

这里文件并不多,看到文件名字差不多可以分析出这个文件里面写的是什么功能,以及我们可以找到主页index.php和普通用户的登录入口login.php。
在这里插入图片描述
include/webscan/webscan.php目录下存在过滤功能,可以看出过滤规则还是比较完善,可以有效预防xss和sql注入。

$getfilter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|\\b(group_)?concat[\\s\\/\\*]*?\\([^\\)]+?\\)|\bcase[\s\/\*]*?when[\s\/\*]*?\([^\)]+?\)|load_file\s*?\\()|<[a-z]+?\\b[^>]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)|UPDATE\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)@{0,2}(\\(.+\\)|\\s+?.+?\\s+?|(`|'|\").*?(`|'|\"))FROM(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
//post拦截规则
$postfilter = "<.*=(&#\\d+?;?)+?>|<.*data=data:text\\/html.*>|\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*\)|sleep\s*?\(.*\)|\\b(group_)?concat[\\s\\/\\*]*?\\([^\\)]+?\\)|\bcase[\s\/\*]*?when[\s\/\*]*?\([^\)]+?\)|load_file\s*?\\()|<[^>]*?\\b(onerror|onmousemove|onload|onclick|onmouseover)\\b|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)|UPDATE\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)(\\(.+\\)|\\s+?.+?\\s+?|(`|'|\").*?(`|'|\"))FROM(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
//cookie拦截规则
$cookiefilter = "benchmark\s*?\(.*\)|sleep\s*?\(.*\)|load_file\s*?\\(|\\b(and|or)\\b\\s*?([\\(\\)'\"\\d]+?=[\\(\\)'\"\\d]+?|[\\(\\)'\"a-zA-Z]+?=[\\(\\)'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?\(|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)|UPDATE\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)@{0,2}(\\(.+\\)|\\s+?.+?\\s+?|(`|'|\").*?(`|'|\"))FROM(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";

include/common.php目录中也有个函数来模仿已经被php废弃的maigc_quotes_gpc。代码还是不难读懂的,主要意思就是说检查是否启动了maigc_quotes_gpc,如果没有这个函数,那么就递归遍$svar中的每一个字符,每一个字符进行addslashes过滤。
addslashes()函数功能:
在这里插入图片描述

function _RunMagicQuotes(&$svar)
{
	if(!get_magic_quotes_gpc())
	{
		if( is_array($svar) )
		{
			foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);
		}
		else
		{
			$svar = addslashes($svar);
		}
	}
	return $svar;
}


foreach(Array('_GET','_POST','_COOKIE','_SERVER') as $_request)
{
	foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);
}

漏洞复现

/js/player/dmplayer/player/index.php 反射性xss(详见https://github.com/HuaQiPro/seacms/issues/28)

虽然说反射性xss危害很小,但是还是可以配合钓鱼来进行骗cookie的(之前实习时有个项目联合公安做灰黑产打击就用反射型xss钓过鱼,别说还真能上当)这个目录下的问题不少,但是最主要的问题是,他的所有来自用户的变量大多数都没有经过过滤,前面写的规则他并没有引用。
poc:?color=%3C/style%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
在这里插入图片描述
在这里插入图片描述

poc:?vid=%3C/script%3E%3Cscript%3Ealert(1)%3C/script%3E
在这里插入图片描述
在这里插入图片描述

admin_ping.php 代码执行

先登录后台,在admin_ping.php目录下可以找到功能点
在这里插入图片描述

在这里插入图片描述
回去看源码,造成代码执行的原因就是没过滤
在这里插入图片描述
在这里插入图片描述

漏洞太多了,整理完了下半部分一次性写完

人过不留名
关注
海洋影视管理系统seacms 12.9
04-30
海洋影视管理系统seacms 12.9 更新日志:2021-01-18新增:采集时标题替换;新增:后台影片购买记录;新增:后台会员组购买记录;新增:前台充值记录记录;新增:前台会员组购买记录;优化:发送用户消息逻辑;优化:部分...
海洋cms(海洋视频内容管理系统) v12.9 bulid20231019.zip
04-02
v12.9 build20231019是该系统的最新版本,发布于2023年10月19日,包含一系列的改进和更新,以提升用户体验和系统性能。 一、系统特性 1. 视频管理:海洋CMS提供了完善的视频上传、分类、排序和推荐功能。管理员可以...
sea海洋CMS网站模板精品-优化代码结构-自适应影视模板
hshjiwajs1的博客
08-23 206
视频播放:提供流畅的视频播放体验,支持多种视频格式和播放器。内容管理:提供易于使用的后台管理系统,方便管理视频内容和用户数据。用户交互:包括评论、评分、分享等社交功能,增强用户参与度。搜索和推荐:提供强大的搜索功能和个性化的内容推荐,帮助用户快速找到感兴趣的内容。多语言支持:支持多种语言,满足不同地区用户的需求。请注意,如果你需要具体的源码或模板,建议你通过合法的渠道购买或获取,以确保遵守相关的版权法规。
海洋cms(海洋视频内容管理系统) v12.5 bulid220618
weixin_70215279的博客
08-20 691
爱趣漫画是一款有着海量漫画资源在内的特色阅读型手机应用,专门为广大喜欢看漫画的用户打造,致力于打造出一个属于我们的阅读天堂!软件采用了非常独特的分图模式,图像与和文字能够清晰的展现出来,大家在手机上也能舒适地阅览漫画。最后,软件还会每天实时更新,也就是不管什么时候我们都能够在里面看到最新的漫画资源,尤其是当我们将自己喜欢的漫画加入到书架之后,我们下次阅读起来也就要更加方便许多了。夜间模式可调节亮度、过滤番外、添加本地漫画、书签、自动播放等超多功能,等你来发现!去掉广告,页面简洁,想看啥就搜啥,非常方便。..
代码审计系列:熊海CMS V1.0 (iseaCMS_1.0)
闵行小鱼塘
07-12 5347
学习练习代码审计,找来据说很多洞对新手友好的 熊海CMS V1.0,15年的CMS
seaCMS v12.9代码审计学习(下半)
爆金币了,老登!
10-12 627
seacms v12.9代码审计
Seacms V12.9
weixin_65219040的博客
06-18 1135
通过定位file_get_contents()函数:找寻有可控变量的文件: 进入后台这个页面: 因为已经登入后台,所以找存储型的XSS,在扩展中添加广告,友情链接这些地方进行尝试:直接修改海洋cms名称,拼接js, 存储型XSS: 前台页面:尝试添加系统管理员: 构造poc: 在另一浏览器打开: 网页打开admin_template.php,添加参数action=del&filedir=../templets/default/html/../../../test.php。设置打开这个网页就进行自动
Seacms <=12.9 Any file download
DGS666的博客
10-12 1424
By auditing the source code, in the admin_ In the safe.php file, a controllable variable was found and a vulnerability was found on line 94 of the codeAny file downloadSeacmsSeacms <= V12.9​The latest version download address:https://www.seacms.com/downloa
SeaCMS海洋影视管理系统远程代码执行漏洞复现
holyxp的博客
07-27 1028
所以就去到http://192.168.1.57/SeaCMS_12.9/Upload/install/index.php这个文件来进行安装操作,打开此url会出现下面的界面,然后点击右下角的开始。因为我们是直接在这里安装的,保存了我们的cookie所以我们就直接进来了,如果没有直接进来也不要紧,直接弱密码账户admin 密码admin就行了。很明显我们输入的双引号把变量前面的内容给闭合了,然后后面有双斜杠直接注释了后方的内容,所以就导致了我们利用蚁剑来正向shell。然后下面的随便填,就像这样子。
自监督学习论文、代码汇总
如果想成为中心,那么就到中心去吧。
07-06 6695
无监督模型预训练
浅谈seacms的getshell
xf555er的博客
04-21 1021
最近几天一直在研究对cms的get shell,刚好看到几篇文章是关于对seacms代码审计,所以尝试写一个exp来对seacms进行getshell 0x001-出现漏洞的代码 关键在于$rlist这个变量是可控的,因为下图目录在comment/api/index.php 在include/sql.class.php文件下有个重大漏洞,设置了一个储存报错内容的文件。 在include/fi...
seacms-v12.9.20231019.zip
05-28
最新版本:V12.9(2024-4-20) / 运行环境:PHP(5.x/7.x) + MySQL/MariaDB 领先的底层技术 摸爬滚打多年,海洋CMS有着丰富的经验和技术积累,并且能够随着流行趋势加入更多当下流行的功能。 丰富的系统标签 海洋CMS...
今客CRM客户关系管理系统 v12.9
09-30
综上所述,今客CRM客户关系管理系统 v12.9以其全面的功能和高度的可定制性,成为了企业客户管理的有力工具,帮助企业实现数字化转型,提升核心竞争力。通过深入理解和有效运用这套系统,企业能够在激烈的市场竞争中...
PHP小课堂】一起学习PHP中的反射(一)
硬核项目经理
10-14 1112
一起学习PHP中的反射(一)反射这个名词相信大家不会陌生,但反过来说,这个反射到底是一个什么概念呢?其实反射,就是通过一些方法函数,来获得一个类或者一个实例化对象中的一些信息。当然,更重要的是,它可以是在运行时来动态获取这些信息的。这样的话,有很多功能就可以通过反射来实现了。比如说 Java 中的注解,在一些 PHP 的框架中,要实现类似的注解功能,就是通过反射来获得注释中的信息来实现的。大家可以...
信息收集2
最新发布
Taurus_HanKun的博客
10-16 817
这个文件是为了网络搜索引擎爬虫程序准备的目的就是为了让爬虫文件爬取网站的信息,便于搜索引擎收录网站,存在的风险就是这个目录记录的是网站的目录结构。一直在网站的域名后面添加字符串,如果返回结果是404,表示页面不存在,如果是其他结果的值,说明这个页面是存在的。检查网站的一些小图片,将这些图片的MD5值,和特定的cms中的图片MD5做比对,一样则说明用的是同一个cms。从不同的位置去ping,如果返回的IP地址是相同的,代表没有使用cdn,如不同则代表使用了cdn。
【OSCP Proving Grounds 靶场系列】Slort
Eason_LYC安全白帽子的成长博客
10-14 486
【OSCP Proving Grounds 靶场系列】Slort
代码审计笔记-PHP
梦想闹钟
10-14 501
代码审计笔记-PHP
【信息安全管理与评估】2023年全国职业院校技能大赛赛题第04套
Play_Sai的博客
10-15 1091
取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。A 集团的 Ubuntu 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。这种攻击叫做( )。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值