php2019版本,某cms 2019版本代码审计

最新推荐文章于 2021-09-29 10:49:58 发布
最新推荐文章于 2021-09-29 10:49:58 发布
阅读量149 收藏
点赞数
文章标签: php2019版本

原标题:某cms 2019版本代码审计

听说这个比较好入门就下载下来练习代码审计了

一、任意文件删除

/admin/dl_data.php

3fdd1dace9fdd67b964d9273bb289017.png

可以看到对filename参数没有任何的过滤

2f10017110baa2a3fa389d8888065eca.png

二、 sql注入

在 /inc/stopsqlin.php下,

3fb304a355e29270109585c31e9eca65.png

可以看到对 get、 post 和cookie中的接收的内容都在zc_check函数进行过滤

e3b9807a9cb8f37035ed24d67490e932.png

主要使用了addslashes函数 ,也就是说 会对单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符) 进行转义

那么想找sql注入的话常见的有以下几种思路:

1.SQL语句中传参无单引号闭合

2.字符串编码绕过

这个问题主要利用一些编码对转义的特殊字符进行编码,第一种情况是当数据库编码格式设置为GBK时,可以实现宽字节注入,第二种情况是使用了iconv()或mb_convert_encoding()进行编码绕过

3.Sprintf()格式化字符串函数漏洞

4.超全局变量$_SERVER

比如 $_SERVER['PHP_SELF'] $_SERVER['HTTP_HOST']

1. $_SERVER [‘HTTP_HOST’]

5d55a8d74d0a0eed87167b1190070c37.png

在第五行可以看到 $_SERVER [‘HTTP_HOST’] 没有进行过滤就直接拼接了,查找包含调用 zt/top.php文件的来进行利用

136c0ec15a2d2f2488578da247dfdfcd.png

比如利用 http://127.0.0.1/zt/companyshow.php

ef34b62ec9083f5113d8f276d009b252.png

2. user\adv2.php

57f8f2067587f6bd4e734edb2503e1d7.png

第67行,很明显看到这边对post方法传进的id没有进行过滤

首先注册用户要企业用户,用户要通过审核后才能发布招商信息

eb4c1d0e4615a0f7e533db49363189f9.png

$_REQUEST 调用接受action的动作

61a2c35e1b650a6ec65b756a26020741.png

当action为modify的时候

df8bb53a4743d501f599443fa9b667d2.png

调用 check_user_power函数,传参set_text_adv

跟进 check_user_power

042d7eaef39af37c4554efde46c45937.png

b7fdcf160922cea6c2bde13c8a538db9.png

将传进的值set_text_dev与查询出的config的内容用函数str_is_inarr对比,返回no

21275b9e194f34c0e02cd4fd7a685e45.png

因为积分模块默认开启,向setAdv函数传值1

接下来要让 $a+$b==0不成立

ce2a7a95a394e888a323edcf1310b3ae.png

因为zzcms_main里面存的是对应用户的招商信息,我们只要发布一条招商信息就可以让$a=1,然后设置广告语后就可以进行构造语句注入了

ebe9925caa53d80366cfd327e8fa30d4.png

3. ajax/zs.php

79170f347c3b26b2ab385389bf5d8bcd.png

f918218423d1a0726e87eb48b8aabb1e.png

第十行这边从从cookie中获取pxzs的内容,然后直接没有引号闭合就在第45行进行拼接,导致sql语句可控,利用sqlmap来进行注入

c33080ee97246c3995e857272393a87b.png

a7ab7690d005607108758abcffd00fbe.png

4. zs/subzs.php

4dfd491e0b57d2a609bddb24569de7ff.png

在showcookiezs函数中,第十六行sql语句将cookie中接收的zzcmscpid没闭合直接拼接

查找调用showcookiezs的函数,在fix函数中被调用,而且要当标签为cookiezs的时候才能执行,继续查找调用fix的函数

c847ca334997119d0f5d0de5a3b8c712.png

发现在label.php的第十二行的showlabel函数中调用

d7f63fcc7880a7b880cb45c4e44e27ae.png

也就是要查找调用showlabel函数,而且传进去的$str 带有标签 cookiezs 的

43a9e025c98e1746fc833bcf413679d4.png

查找发现有2个符合,分别是 zs/search.php 和 zs/zs_list.php

zs/search.php

$fp="../template/".$siteskin."/zs_search.htm";

$f = fopen($fp,'r');

$strout = fread($f,filesize($fp));

$strout=showlabel($strout);

echo $strout;

833d75fb4fb470ea669b92903085f13c.png

zs_list.php

$fp="../template/".$siteskin."/".$skin;

$f = fopen($fp,'r');

$strout = fread($f,filesize($fp));

$strout=showlabel($strout);

echo $strout;

9fa83492fa0166fc0cfb4c84c3d1816e.png

三、XSS

user/ask.php

传入action为modify的话会执行 modify函数 ,跟进 modify函数

4f1549d497a4e955d78d02d863978a94.png

目标是触发218行的markit函数,可知,当传入id不为0的时候,并且根据你要修改的id从 zzcms_ask表里面查询出来的编辑者不是当前用户的话,那么就会触发 markit

28245f1884c2fa0bfe94fb087e181224.png

跟进 markit 函数,发现使用$_SERVER[‘HTTP_HOST’]来进行拼接,直接在host头部构造xss语句

f05736a208fc6290604bb4bdbe3daf1b.png

45580dcd38e429de0f5fd06ffa4ff574.png

bc9d33056c4fb6518f24681e94e5dec7.png

因为还有$_SERVER[‘REQUEST_URI’],也可以在请求的url中构造,但是要注意在inc/stopsqlin.php中有过滤

if (strpos($_SERVER['REQUEST_URI'],'')!==false || strpos($_SERVER['REQUEST_URI'],'%26%2399%26%')!==false|| strpos($_SERVER['REQUEST_URI'],'%2F%3Cobject')!==false){

die ("无效参数");//注意这里不能用js提示

}

责任编辑:

猫本Shawn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php代码审计(简单的CMS,chinaz)
03-04
PHP代码审计】是软件开发过程中的重要环节,特别是对于基于PHP语言的CMS(内容管理系统)而言,确保代码的安全性和稳定性至关重要。`chinaz CMS`是一个简易的PHP内容管理系统,特点是解压后即可直接使用,适合初学...
bluecms源码 初级代码审计
07-31
【描述】:“BlueCMS 1.6源码 适合代码审计初学者”说明这个版本CMS系统被选择为教学工具,因其适合没有或有限代码审计经验的学习者。通过分析这款开源系统的源代码,初学者可以学习如何识别潜在的安全漏洞、理解...
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 288
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
php sql语句in,php中sql语句
weixin_34138585的博客
04-11 147
进入mysql;在cmd中net start mysql;//启动mysql服务net stop mysql;//关闭mysql服务mysql -uroot -hlocalhost -p;//进入mysqlcreate database 数据库名字;//创建数据库show databases;//显示数据show columns from 表名 (from 数据库名); //不要tab...
php代码审计【18】XDCMS 源码审计
司徒荆的博客
07-04 834
XDCMS 源码审计
[php_12]PHP之Mysql操作php7安装pdo_psql扩展
骑着代码去流浪
11-13 801
PHP study上安装pdo_pdsql: 打开对应版本Php配置文件php.ini,找到php_pdo_pgsql.dll将其前面的;去掉,然后重启服务器。
php中fread用法,php fread函数与fread函数用法
weixin_27251469的博客
03-21 324
fread语法:string fread ( resource $handle , int $length )fread()读取到的字节长度由处理引用的文件指针。读尽快停止对符合下列条件之一:已经读取的字节长度!eof(文件结束)达到一包可用网络(流)已阅读8192字节(打开后用户空间流)*///fread读取文件实例一代码如下复制代码$filename = "/www.phprm.com/loc...
Seay PHP代码审计工具 V2.0.3 C#
03-17
摘要:C#源码,字符处理,代码审计 C#编写的PHP代码审计工具的源代码,本人目前就读重庆某软件学院软件测试专业,将于2013年1月底毕业,为了扎实基础,于是有时间就会找一些源码研究,有时候想走走捷径,提高下效率,...
zzcms2019.zip
08-22
【zzcms2019.zip】是一个压缩包文件,包含了用于代码审计、网站搭建以及PHP代码学习的相关资源。从标题和描述中我们可以提取出几个关键的知识点,它们是PHP编程语言的学习、网站构建以及代码安全审计。 首先,PHP...
PHP读取文件内容的五种方式
withoutfear的博客
08-23 8695
----第一种方法:指定读取大小,这里把整个文件内容读取出来-----fread()-------- <?php $file_path = "test.txt"; if (file_exists($file_path)) { $fp = fopen($file_path, "r"); $str = fread($fp, filesize($file_path));//指定读取大小,这里把整个文件内容读取出来 echo $str = str_replace("\r\n", "
WEB安全系列之如何挖掘任意文件读取漏洞
热门推荐
该用户很懒,没有写简介。。。
07-28 1万+
0x01  前言                 任意文件读取漏洞,从代码审计的角度讲一讲。 0x02  什么是任意文件下载漏洞      一般的网站都提供读取文件功能,常规的思路是使用一个动态页面(php、jsp、aspx、asp等)将待下载文件作为参数一般参数名称为filename,如.php?filename/.jsp?filename等。一般实现过程是,在根据参数fi
3-PHP代码审计——PHPCMSV9.6.1文件下载漏洞
网络安全
04-01 652
PHPCMSV9.6.0 wap模块文件读取下载漏洞 漏洞环境:PHPCMSV9.6.1 实验环境的poc //第一步 /index.php?m=wap&c=index&siteid=1 mVmvH_siteid=b9313B7iFIpTYF0heA62UWKP5sOMSqmM8UR5ZIgY //第二步 /index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=pa.
苹果cms创始人声明:2019年已关闭官网并停止更新
magicblack老王的博客
09-29 1844
越来越多的盗版程序出现,苹果cms创始人发布声明,表示2019年已关闭官网并停止更新。 现在市面上所有发布的版本均是未经授权的版本,将保留追究其侵犯软件著作权的权利。 其中原官方域名maccms.com域名已经在2021年6月份被盗,以防被骗。 请谨慎小心对待。 ...
phpcms <php,代码审计| phpcms 9.6.2 任意文件下载与前台SQL注入
weixin_30995661的博客
04-08 277
0x00 背景最近做代码审计的时候发现phpcms 有更新,现在漏洞详情基本不公开,想要知道漏洞的利用方法只能自己审计了,通常可进行新旧版本的代码比较了,来定位旧版本的漏洞位置,便下载了phpcms 9.6.3与phpcms 9.6.1 和phpcms 9.6.2的源码进行比较和审计,发现phpcms 9.6.2 中存在任意文件下载补丁绕过和前台SQL注入,便撰写了本文做个记录,期待和师傅们的各种...
ASP外观专利图像检索平台(源代码+论文).rar
07-21
ASP外观专利图像检索平台(源代码+论文)
C++课程设计:电煤气管理系统【源码+文档】
07-21
C++课程设计:电煤气管理系统【源码+文档】 本程序是一个水电气管理信息系统,能够对高校的水电气费用进行管理, 包括了成员的基本信息,如学号、编号、姓名、成员水电气的用量等。程序的用途包括缴纳水电气费、查询一个同学水电气费用量、查看所有同学的缴费情况、增加学生信息、删除学生信息、退出系统等。在设计时也考虑到学生和教师在用水电气时的不同,学生可以免费使用一定额度的水电气,超过这个额度的以后必须付费,且付费部分水电气费的价格要高于教工的收费标准,该措施的实行是为了鼓励同学们节约资源,以免造成不必要的资源浪费。该软件主要是为了学校的管理人员提供便捷,以更快的完成水电气费用的收缴。该软件本着简洁明了,实用稳定为一体进行设计。 系统将实现以下功能: (1)实现对用户信息的录入; (2)实现水电煤气数据的录入; (3)实现计算并查询用户应缴费用,查询未缴纳费用的名单; (4)实现对人员的删除和添加;
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT).rar
07-21
ASP+ACCESS网上动态同学录系统(源代码+论文+系统说明+答辩PPT)
avaloniassification-mas笔记
最新发布
07-21
avalonia
PHP代码审计初学者指南:使用RIPS进行实践
尽管文档没有涵盖所有可能的审计工具和CMS系统的审计过程,但其提供的基础实践足以让新手了解代码审计的基本流程,并为进一步深入学习打下基础。后续内容可能涉及更多工具的使用和更复杂的审计场景,这对于提升代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值