bugku 管理员系统 后台代码_代码审计——YXCMS

最新推荐文章于 2024-02-18 15:56:11 发布
最新推荐文章于 2024-02-18 15:56:11 发布
阅读量545 收藏 3
点赞数
文章标签: bugku 管理员系统 后台代码 layuiajax提交表单控制层代码

a2f296fc6110ab106e2a305da5ef1993.png

前言

YXcms是一个代码审计入门级的cms,比较适合想我这样的小白玩家进行操作。。。

我一直想尝试审计一个cms,但是因为各种原因,一直搁置了。
尝试分析一下YXCMS。。。

相关环境

源码信息 : Yxcms php建站系统 1.4.7
本地环境 : phpstudy2018
下载地址 : 175.6.244.211:88/uploads/userup/1596/YXcmsApp1.4.7.zip

安装环境

具体的安装和使用的详细可以上官网查看https://www.kancloud.cn/yongheng/yxcms

YXcms代码审计

YXcms目录结构

a1abfe47ecba39f05b5d1653abcd890f.png

protected文件夹一些重要的路径:
protected/base 控制器、模型以及接口的父类
protected/cache 数据库缓存、模板缓存等
protected/include canphp核心
protected/config.php 系统全局配置
protected/core.php 系统核心函数
protected/apps 存放应用
protected/apps/admin 后台
protected/apps/default 前台
protected/apps/member 会员中心
protected/apps/install 系统安装
YXcms1.4.7是mvc路由模式开发的。。。
这个版本后台有好几个严重漏洞,
前台有一个储存型XSS,要利用也需与管理员交互。 我们一个一个来进行分析。。。

前台存储型XSS

漏洞复现

前台有留言板的功能,进行测试:

33db54e64366eec2105562e40521548f.png

当管理员在后台查看留言的时候,就能触发xss:

d6006f926a5c880c004f5017713524c6.png

可以通过这个 xss 来获取管理员的 cookie ,从而进入网站后台。。

代码分析

让我们看一下代码的实现:
首先前台留言板的代码: 前台的文件源码 protected/apps/default/controller/columnController.php 
public function index(){
             $ename=in($_GET['col']);        if(empty($ename)) throw new Exception('栏目名不能为空~', 404);        $sortinfo=model('sort')->find("ename='{$ename}'",'id,name,ename,path,url,type,deep,method,tplist,keywords,description,extendid');        $path=$sortinfo['path'].','.$sortinfo['id'];        $deep=$sortinfo['deep']+1;        $this->col=$ename;        switch ($sortinfo['type']) {
                 case 1://文章                $this->newslist($sortinfo,$path,$deep);                break;            case 2://图集                $this->photolist($sortinfo,$path,$deep);                break;            case 3://单页                $this->page($sortinfo,$path,$deep);                break;            case 4://应用                break;            case 5://自定义                break;            case 6://表单                $this->extend($sortinfo,$path,$deep);                break;            default:                throw new Exception('未知的栏目类型~', 404);                break;        }    }...protected function extend($sortinfo,$path,$deep){
             $tableid=$sortinfo['extendid'];        if(empty($tableid)) $this->error('表单栏目不存在~');        $tableinfo = model('extend')->select("id='{$tableid}' OR pid='{$tableid}'",'id,tableinfo,name,type,defvalue','pid,norder DESC');        if(empty($tableinfo)) $this->error('自定义表不存在~');        $urls=explode('|', $sortinfo['url']);        // var_dump($tableinfo);        // var_dump($urls);        // exit();        if (!$this->isPost()) {
                ...        }else{
                session_starts();           $verify=session('verify');           session('verify',null);           if(empty($verify) || $_POST['checkcode']!=$verify) $this->error('验证码错误,请重新输入');           for($i=1;$i            if(is_array($_POST[$tableinfo[$i]['tableinfo']])){
                    $data[$tableinfo[$i]['tableinfo']]=in(deletehtml(implode(',',$_POST[$tableinfo[$i]['tableinfo']])));               $data[$tableinfo[$i]['tableinfo']]=$data[$tableinfo[$i]['tableinfo']]?in(deletehtml($data[$tableinfo[$i]['tableinfo']])):'';            }else{
                     if(strlen($_POST[$tableinfo[$i]['tableinfo']])>65535) $this->error('提交内容超过限制长度~');                $data[$tableinfo[$i]['tableinfo']]=html_in($_POST[$tableinfo[$i]['tableinfo']],true);            }           }           $data['ip']=get_client_ip();           $data['ispass']=0;           $data['addtime']=time();           if(empty($urls[1])) $jump=$_SERVER['HTTP_REFERER'];           else{
                   $jurl=explode(',',$urls[1]);              if(!empty($jurl[1])){
                     $arr=explode('/',$jurl[1]);                if(!empty($arr)){
                       $canshu=array();                  foreach ($arr as $vo) {
                          $val=explode('=',$vo);                     $canshu[$val[0]]=$val[1];                  }                }              }              $jump=url($jurl[0],$canshu);           }           $mes=$urls[2]?$urls[2]:'提交成功请等待审核~';           if(model('extend')->Extin($tableinfo[0]['tableinfo'],$data)) $this->success($mes,$jump);           else $this->error('提交失败~');         }    }
这里前端对xss过滤不完善。。
只对 tname 参数进行了验证 deletehtmlhtml_in
最低0.47元/天 解锁文章
weixin_39613385
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
never-give-up:永不放弃的PyTorch实现
05-26
永不放弃 永不放弃的PyTorch实施:学习定向探索策略[] 仅实施了具有嵌入网络的偶然性好奇心。 安装 使用Python 3.7.9测试 pip install -r requirements.txt 火车 python train.py 结果 ...R2D2基地是从通过
bugku盲水印代码2b
08-16
本文将深入探讨“bugku盲水印代码2b”这一主题,包括其核心概念、应用以及如何使用Python实现。 首先,我们要理解什么是盲水印。盲水印与传统的可见水印不同,它并不直接影响图像的视觉呈现,而是隐藏在图像的数据...
yxcms弱口令至getshell 漏洞复现
Boom!脑洞大爆炸的博客
06-28 1944
yxcms弱口令至getshell 漏洞复现
复现红日安全-ATT& CK实战:Vulnstack靶场实战(一)
weixin_51152373的博客
06-14 1008
内网实战环境配置所有主机密码为:hongrisec@2019密码同一修改为:hongrisec@2021攻击机名称: win 10 | kali 2020vm1名称: win 7ip: 外网:192.168.154.0内网:192.168.52.143vm2名称: win 2003vm3名称: win 2008(域控)网络配置Win7服务开启。
BUGKU-WEB 留言板
天泽岁月
02-07 1067
BUGKU-WEB 留言板
多节点靶场(1)--Yxcms靶场分析
u012335061的博客
11-22 2969
**** 多节点靶场(1)–Yxcms靶场分析** **链接: 任务:找找flag,一共有三个: 已经知道是yxcms,可以去网上看一下,这个cms爆出过什么漏洞,可以复现一下 Yxcms登录后台地址:http://192.168.100.130/index.php?r=admin/index/login Yxcms后台登录页面存在弱口令,默认用户密码是...
bugkuCTF
Vincent0sen的博客
10-26 463
有时间再说,持续更新。
BWVS.rar_BWVS bugku_vulnerability
09-23
Bugku Web Vulnerability System
bugku《1和0的故事.txt》
07-24
大佬可以试试
DS_Store文件泄漏利用python脚本
06-22
.DS_Store文件是苹果Mac OS X操作系统中的一种特殊文件,用于存储特定文件夹或磁盘卷的自定义视图信息,如图标排列、隐藏文件状态等。这些文件通常不包含敏感信息,但在某些情况下,它们可能无意间暴露了用户的文件...
YXcmsApp建站系统兼容手机 v1.4.7.zip
07-06
YXcmsApp建站系统 v1.4.7更新日志 1、修正:验证码在某些特殊情况下无法显示的问题 2、修正:伪静态下分享到微信或者QQ时首页无法访问的问题 手动升级请保留配置文件和模板文件,其他覆盖即可,为了以防万一请升级之前做好备份  YXcmsApp建站系统 简介 用最少的代码做更多的事情是Yxcms的设计理念。如果你现在正在被各种大型建站系统繁琐的功能而困扰,如果您的网站虽然只用得上其中很小一部分功能却不得不安装一大堆东西,面对各种复杂操作的同时还要忍受因为体积庞大而带来的运行效率低下的问题。那么这一款cms应该更加适合你的需要。完成同样的工作Yxcms会用更简洁、人性的方式去实现。  YXcmsApp建站系统前台页面: YXcmsApp建站系统后台登录管理 后台地址:http://域名/index.php?r=admin/index/index 后台默认账户:admin 密码:123456  后台页面:   相关阅读 YXcmsApp建站系统安装指南
YXcms建站系统(兼容手机) v1.4.7
11-07
Yxcms是一款高效灵活实用的企业建站系统基于PHP和mysql技术让您拥有更加专业的企业建站和企业网站制作服务。采用三级缓存:数据库缓存、模板缓存、静态缓存,可使网站数据
2020年最新网址导航源码网址目录源码1.4.7完整版免费下载
10-12
优客365网站分类导航系统是个跨平台的开源软件,基于PHP+MYSQL开发构建的开源网站分类目录管理系统,具有操作简单、功能强大、稳定性好、扩展性及安全性强、二次开发及后期维护方便,可以帮您迅速、轻松地构建起一个强大、专业的分类目录或网址导航网站。
YXCMSYXCMSYXCMS
11-16
YXCMSYXCMS文章管理系统
Bugku-留言板
qq_56611811的博客
05-07 686
1.提示我们用xss平台接收flag2.通过xss.pt平台生成脚本,以插入图片形式将图片地址上传 3.回到xss平台可以看到接收到flag4.URL解码一下,拿到flag
BUGKU-WEB 留言板1
最新发布
天泽岁月
02-18 973
BUGKU-WEB 留言板1,xss双写绕过
留言板
weixin_53150482的博客
08-08 1575
留言板
PHP代码审计——SQL注入漏洞YXcms
W小哥
08-18 2334
一、漏洞描述 在处理删除内容时,传入的数据进行拼接赋值,整个数据传递过程仅对数组进行mysql_real_escape_string处理,导致SQL注入漏洞
bugku-ctf
weixin_53562844的博客
05-05 303
这里我也是试了这个平台的很多url,最后成功的是上面那个,可能是xss平台有些url用不了,又可能是我操作不当,反正多试几个,多试几次。dirsearch进行目录扫描,发现admin.php登录接口,默认用户名admin,但不知道密码,这里我利用不了。因为看到好多人都说没回显,就做一下记录,希望能帮到更多人。直接复制里面的代码,这里过滤空格和script。这里已经看到xss平台有回显了。
bugku file_get_contents
04-08
我不确定您的问题具体是什么,但是如果您正在讨论BugKu平台的file_get_contents功能,则可以说该功能是用于从文件中读取数据的PHP函数。可能存在一些与该功能相关的问题或错误,您需要进一步说明您遇到的问题或情况...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值