【漏洞练习-Day10】FengCms 1.32与Simple-Log1.6网站重装漏洞

最新推荐文章于 2023-03-09 17:50:43 发布
最新推荐文章于 2023-03-09 17:50:43 发布
阅读量541 收藏
点赞数
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangpen130/article/details/104008350
版权

开始练习【红日团队】的PHP-Audit-Labs 代码审计 Day10
链接:https://github.com/hongriSec/PHP-Audit-Labs
感兴趣的同学可以去练习练习
预备知识:
内容题目均来自 PHP SECURITY CALENDAR 2017
Day 10 - Anticipation代码如下:

extract($_POST);

function goAway() {
  error_log("Hacking attempt.");
  header('Location: /error/');
}

if (!isset($pi) || !is_numeric($pi)) {
  goAway();
}

if (!assert("(int)$pi == 3")) {
  echo "This is not pi.";
} else {
  echo "This might be pi.";
}

漏洞解析 :
这道题目实际上讲的是当检测到攻击时,虽然有相应的防御操作,但是程序未立即停止退出,导致程序继续执行的问题。程序在第一行处 使用 extract函数,将POST请求的数据全都注册成变量。

extract () 函数:

(PHP 4, PHP 5, PHP 7)

功能:

extract() 函数从数组中将变量导入到当前的符号表。

定义:
extract(array,extract_rules,prefix)
说明:
参数描述
array必需。规定要使用的数组。
extract_rules可选。extract() 函数将检查每个键名是否为合法的变量名,同时也检查和符号表中已存在的变量名是否冲突。对不合法和冲突的键名的处理将根据此参数决定。
prefix可选。如果 extract_rules 参数的值是 EXTR_PREFIX_SAME、EXTR_PREFIX_ALL、 EXTR_PREFIX_INVALID 或 EXTR_PREFIX_IF_EXISTS,则 prefix 是必需的。

范例:

在这里插入图片描述
结果:

$a = Original; $b = Dog; $c = Horse; 
$dup_a = Cat

这样我们就可以控制 第8行处的pi 变量。

if (!isset($pi) || !is_numeric($pi)) {

程序对pi变量进行简单的验证,如果不是数字或者没有设置 pi变量,程序就会执行 goAway方法,即记录错误信息并直接重定向到 /error/页面。看来程序员这里是对非法的操作进行了一定的处理。但是关键在于,程序在处理完之后,没有立即退出,这样程序又会按照流程执行下去,也就到了第12行assert语句。

if (!assert("(int)$pi == 3")) {

由于前面pi变量可以被用户控制,所以在这一行存在远程代码执行漏洞

例如我们的payload为:pi=phpinfo() (这里为POST传递数据),然后程序就会执行这个 phpinfo 函数。当然,你在浏览器端可能看不到 phpinfo 的页面,而是像下面这样的图片:

在这里插入图片描述
在这里插入图片描述
为了方便大家理解,红日团队的大佬录制了debug程序的过程:点这里

实际上,这种案例在真实环境下还不少。例如有些CMS通过检查是否存在install.lock文件,从而判断程序是否安装过。如果安装过,就直接将用户重定向到网站首页,却忘记直接退出程序,导致网站重装漏洞的发生。下面我们来看两个真实的案例。

实例分析:

  • FengCms 1.32 网站重装漏洞

本次实例分析,我们选取的是 FengCms 1.32 。

漏洞POC 本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

漏洞分析:

对于一个已经安装好的 FengCms ,当用户再次访问 install/index.php 时,就会导致网站重装。我们来具体看下程序的逻辑:
现在正常页面:
在这里插入图片描述
install/index.php(25-135行)
在这里插入图片描述
我们可以看到,如果是第一次安装网站,程序会在 upload目录下(27行)生成一个 INSTALL 文件,用于表示该网站已经安装过(对应上图 25-28行 代码)。当我们再次访问该文件时,程序会先判断upload目录下是否有INSTALL文件。如果存在,则弹窗提示你先删除 INSTALL 文件才能进行网站重装(对应上图 1-4行 代码)。但是这里注意了,网站在弹出告警信息后,并没有退出,而是继续执行,所以我们在不删除 INSTALL 文件的情况下,仍可以重装网站

比较有趣的是,原本网站网站安装成功后,程序会自动删除upload目录下的所有文件,来防止攻击者重装网站,然而这段代码却在注释当中,具体原因不得而知。

/****
    case '6': //删除安装目录

		if(rmdirs(ROOT_PATH.'/install') or rmdir(ROOT_PATH.'/install')){

			  echo '<script type="text/javascript">alert("删除成功!");close();</script>';
			  exit();

		}else{
			  echo '<script type="text/javascript">alert("删除失败,请手工删除网站根目录下install目录!");close();</script>';
			  exit();
		}

	break;
***/

漏洞利用:

漏洞利用就极其简单了 ,我们直接访问 install/index.php 页面,无视弹出来的警告:

在这里插入图片描述
在这里插入图片描述

  • Simple-Log1.6网站重装漏洞

漏洞分析:

我们再来看 Simple-Log1.6网站重装的例子。其install\index.php 文件中,对网站安装成功的处理有问题,其代码是在下图 17-20行 ,程序只是用 header 函数将其重定向到网站首页,然而程序还是会继续执行下去。
在这里插入图片描述
而且程序的安装逻辑其实是有问题的,安装步骤由 $setup变量控制,而 $setup变量可以被用户完全控制(如上图 第10行 代码),攻击者完全可以控制网站的安装步骤。

漏洞利用:

Simple-Log 的重装利用:
http://10.211.55.2:100/Simple-Log1.6/upload/install/index.php
在这里插入图片描述
host=localhost&dbname=day9&dbuser=root&dbpass=root&dbprefix=&admin_user=admin&admin_pass=123456&blogname=admin&blogdesc=&setup=finish&button=%E5%BC%80%E5%A7%8B%E5%AE%89%E8%A3%85

修复建议:

实际上,要修复这一类型的漏洞,我们只要在正确的地方退出程序即可。拿这次的例题举例,我们只需要在检查到非法操作的时候,直接添加退出函数,即可避免漏洞发生。例如使用 dieexit等函数都是可以的,具体修复代码如下:
在这里插入图片描述

结语

再次感谢【红日团队】

sec_pz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 3087
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
刚刚公布的 Log4J 的史诗级安全漏洞 CVE-2021-44228 你处理了吗?
weixin_45987961的博客
12-15 5318
发生什么事了 Log4J 是一个应用非常广泛的Java库,就在前两天的2021年12月10日,Log4J的一个安全漏洞被公布了。那天正好是周五,很多程序员都在计划着怎么度过一个愉快的周末,不料这个安全漏洞的公开,使得全世界很多程序员不得不周末加班,有的甚至通宵达旦紧急应对。 漏洞编号为CVE-2021-44228 ,攻击者利用这个新的零日漏洞,可以远程执行恶意代码。 零日漏洞( zero-day )通常是指还没有补丁的安全漏洞。零日漏洞利用(zero-day exploit)的程序对网络安全具有..
zzcms2019重装漏洞审计
Cvjark的博客
03-28 745
审计cms重装业务逻辑并实现bypass达到系统重装的目的 漏洞点zzcms.com/install/index.php 附加调试器,访问:http://www.zzcms.com/install/index.php?XDEBUG_SESSION_START=16156(XDEBUG_SESSION_START是调试器附加的)访问结果如下图: 根据页面回显信息,keyword是:/install/install.lock文件,回到index.php代码,索引这个字段,发现0 found 试试全局f
php之系统重装漏洞fengcms
qq_42307546的博客
05-30 362
项目地址 https://www.phpfans.net/xz/108401.html 一些php编写的网站在安装完成之后会在install目录下生成一个类似于install.lock文件来判断网站是否已经安装过了防止再次安装,但是由于逻辑上的问题只是判断了文件是否存在并没有退出导致了重装而且有的时候在安装过程中会把一些配置文件的信息通过post方式传输并保存在配置文件中如果没有对这些信息进行过滤我们就可以把恶意代码插进去 看一下安装的代码 install/index.php define("TPL_IN
系统重装漏洞
最新发布
qq_45301512的博客
03-09 4044
这里简单的说一下,前面的系统重装漏洞没什么好说的,跟zzcms差不多,主要是后面如何获取webshell,fengcms的源代码中存在如下图的一个写入配置文件的代码,也就是fopen那里,字母w意思就是以写入的方式打开文件,然后这里没过滤写入的参数,就会产生任意代码写入配置文件的漏洞。这段代码的意思就是如果post参数中存在step,那么step变量的值就等于post参数中step的值,如果post参数中不存在step,那么step变量的值就等于1。其实就在index.php文件上方的代码中。
Excms 重装漏洞
weixin_33835690的博客
05-30 219
看了下乌云镜像标题里面‘爆任意文件’好奇下载此系统学习下,比较老的系统,安装完,并没有找到该文件:/apps/include.php 链接地址:http://wooyun.fbisb.com/bug_detail.php?wybug_id=wooyun-2011-03565 程序下载地址:http://www.mycodes.net/43/1073.htm 文件:/install/in...
dedecms 躺着也中枪 爆重装漏洞
ITfinder
06-30 241
利用条件:web server: apache漏洞原因::apache 不认识bak 直接当php执行. http://webshell.cc/install/index.php.bak?insLockfile=1 这dedecms死的太冤枉了. apache的原因. 原文地址:http://www.webshell.cc/4379.html   不过这个问题并不会影响太大,因为当进行...
安全基础:0-day漏洞
知行合一 止于至善
06-09 5769
这篇文章以阿里巴巴的FastJSon来介绍一下Zero-day(0-day)漏洞的基础常识。
安全漏洞--基于NDAY和0DAY漏洞免杀技巧
关注互联网安全的小虾米一枚
05-09 8656
漏洞简介 漏洞开发者在利用0day和Nday时,除了在逃过windos的自身安全机制的基础上,不可避免的要接触到与杀软对抗的工作,就一般情况来看,如果针对特定的目标杀软还是有很大可能可以绕过,难点是通用所有的杀软。 另外值得注意的一点,现今主流杀软很多,在通用的前提下,免杀工作往往占用很多时间。 二 构造POC 2.1 构造POC
使用 Elastic Security 检测 CVE-2021-44228 (log4j2) 的漏洞利用
点火三周的专栏
12-12 5761
重要的提示 : 要了解 Elastic 当前如何评估我们产品中此漏洞的内部风险,请参阅此处 概述 这篇博文提供了 CVE-2021-44228 的摘要,并为 Elastic Security 用户提供了检测,以发现他们环境中对该漏洞的主动利用。 随着我们了解更多信息,我们将持续提供更多的更新。截至 2021 年 12 月 11 日星期六,此版本是准确的。可以通过Log4j2的安全页面直接调查来自 Apache 的更新。 CVE-2021-44228 (Log4Shell) 摘要 Lo...
FengCms内容管理系统 1.32.rar
05-25
FengCms由地方网络工作室基于PHP MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! FengCms内容管理系统 1.32 更新日志:2015-10-12 1、新增阿里云xss安全插件,提升FengCMS系统安全2、核心增加过滤,提升系统安全。3、新增动态缩略图函数。可根据大图动态生成缩略图于内存中,可大幅减少流量占用,提高网站打开速度(但会占用CPU资源,劣质虚拟主机慎用)。函数使用方法 {thumb(原始图片地址,缩略图宽度,缩略图高度)}4、新增 web.config 文件,用于 windows 2008 以及以上系统的伪静态配置(需要服务器支持)我们建议系统运行于linux服务器上。 特色: 模型极度灵活 自由搭建任意模型,万能AJAX验证,胜任任何变态需要! 稳定压倒一切 基于PHP MYSQL构建,稳定坚若磐石! 易用无与伦比 每一处细节,都倍感贴心,让编辑从此不再厌恶后台! 速度超越极限 每一处细节,都倍感贴心,让编辑从此不再厌恶后台!
FengCms 网站内容管理系统 v1.28 Beta
04-04
FengCms Beta 1.28 更新说明: 本次更新给栏目增加了图片字段,以后可以给每个栏目单独指定一张栏目图片,便于大家更加灵活的制作网站。 另,前段时间由于爆发了N多的安全漏洞,为了更加安全,我们给全站增加了XSS过滤,导致后台一些功能受到限制,甚至出错。 为了解决这个问题,我们在1.28版本中,去掉了全站过滤,而仅仅保留了前台过滤。这样大家在使用时会更加灵活方便。 1、栏目表新增图片字段 2、去除了后台的XSS过滤。 虽然FengCms是一款免费、开源、且就FengCms本身是不寻求商业模式的这样一套自由的CMS系统。但是出于对乌云上这些朋友给予我们的热心帮助,开发团队决定采购一批小礼品。随后将邮寄给大家! 希望各位白帽子可以继续为FengCms挖掘漏洞。我相信,我们一定可以做得更好! 另外FengCms2.0 公开版本将推迟发布。我们从1.0被挖掘出来的漏洞和问题,我们将进一步的去完善2.0。不定期的会在FengCms交流群中发布内测版本。希望大家可以关注QQ群 ,群号是53667986! ============== FengCms 安全说明 ============================= 1、修改后台密码。在后台右上角点击“修改密码”进行修改。 2、修改后台认证码。在 /config.php 配置文件中修改。 3、修改后台路径。直接修改 admin 目录名即可。 4、随时关注官方网站 www.fengcms.com 以获得最新的升级补丁。 ============== Linux 权限配置777 ============================ PS:安装在linux服务器下要注意给以下目录文件夹和其下的子文件777权限。 /admin/app/dbbackup 数据库备份目录 /admin/app/cache 后台缓存文件 /app/cache 前台缓存文件 /template 模版目录 /css 样式目录 /upload/ 上传目录 /config.php 配置文件 更多目录信息,请查阅目录说明.txt文件 =============== 新L标签写法 ================================= 老的万能标签写法: {loop M("module")->l("article"…… 新的万能标签写法: {loop l("article"…… 也就是说,省略调了“ M("module")-> ” 原先写的模版没有必要修改,因为兼容老的写法。 ============================================================= 后台地址:/admin/login.php 用户名:admin 密码:123456 认证码:8888 ======================== FengCms系统是由地方网络工作室倾力打造的一套PHP+MYSQL的CMS,和其他小型CMS不同,我们的CMS是完全自主开发的核心(由开源核心开发的CMS程序很大程度上受到核心的限制,在安全问题,以及代码臃肿等方面有先天缺陷)。当然,由于我们是自主开发的核心,因此,我们和其他cms有很大的不同。 由此,FengCms官方制作了视频教程和模版标签白皮书,方便诸君能够迅速理解并使用FengCms网站内容管理系统。 当然,这还远远不够。因此我们会倍加努力,写更多的教程,不断的完善我们的程序,以期为诸君提供更加优质的服务! FengCms是一套纯粹为展示内容而生的cms系统。因此,FengCms不包含任何交互模块(除自带的留言,且默认不显示)。我们是为纯粹为展示内容而生的,是纯展示类型网站的最佳伴侣。 FengCms自带非常强大的模型系统,利用模型系统,可以自由搭建任意需要的模型。不再收到任何限制。甚至,你新建的模型可以连栏目都没有,你爱咋滴咋滴。 FengCms的万能L标签功能,可以对数据库内的任意数据表进行任意调用,支持原生PHP函数,支持循环套循环,判断套判断。 更为强大的是。FengCms的后台,其实和前台一样,是用一样的代码写出来的。因此,FengCms有无与伦比的二次开发潜力。其中的好处,需要诸君慢慢品评! FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站FengCms 开发团队石峰在开发一套大的项目,总监刘峰目前就职于青海某旅游公司。因此,FengCms 项目进展有所放缓。但是,FengCms团队始终对FengCms不离不弃。我们一定会坚持开发下去的。请大家放心。 如果使用新增的下载函数不能下载,而是打开一个乱码的网
FengCms 网站内容管理系统 v1.32 Beta.zip
07-06
FengCms Beta 1.32 更新说明: 1、新增阿里云xss安全插件,提升FengCMS系统安全 2、核心增加过滤,提升系统安全。 3、新增动态缩略图函数。可根据大图动态生成缩略图于内存中,可大幅减少流量占用,提高网站打开速度(但会占用CPU资源,劣质虚拟主机慎用)。 函数使用方法 {thumb(原始图片地址,缩略图宽度,缩略图高度)} 示例:{thumb($v['img'],120,80)} 4、新增 web.config 文件,用于 windows 2008 以及以上系统的伪静态配置(需要服务器支持)我们建议系统运行于linux服务器上。 FengCms系统介绍 FengCms系统是由地方网络工作室倾力打造的一套PHP MYSQL的CMS,和其他小型CMS不同,我们的CMS是完全自主开发的核心(由开源核心开发的CMS程序很大程度上受到核心的限制,在安全问题,以及代码臃肿等方面有先天缺陷)。当然,由于我们是自主开发的核心,因此,我们和其他cms有很大的不同。 由此,FengCms官方制作了视频教程和模版标签白皮书,方便诸君能够迅速理解并使用FengCms网站内容管理系统。 当然,这还远远不够。因此我们会倍加努力,写更多的教程,不断的完善我们的程序,以期为诸君提供更加优质的服务! FengCms是一套纯粹为展示内容而生的cms系统。因此,FengCms不包含任何交互模块(除自带的留言,且默认不显示)。我们是为纯粹为展示内容而生的,是纯展示类型网站的最佳伴侣。 FengCms自带非常强大的模型系统,利用模型系统,可以自由搭建任意需要的模型。不再收到任何限制。甚至,你新建的模型可以连栏目都没有,你爱咋滴咋滴。 FengCms的万能L标签功能,可以对数据库内的任意数据表进行任意调用,支持原生PHP函数,支持循环套循环,判断套判断。 更为强大的是。FengCms的后台,其实和前台一样,是用一样的代码写出来的。因此,FengCms有无与伦比的二次开发潜力。其中的好处,需要诸君慢慢品评! FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站FengCms 开发团队石峰在开发一套大的项目,总监刘峰目前就职于青海某旅游公司。因此,FengCms 项目进展有所放缓。但是,FengCms团队始终对FengCms不离不弃。我们一定会坚持开发下去的。请大家放心。 如果使用新增的下载函数不能下载,而是打开一个乱码的网页,则请检查php.ini配置文件中的 output_buffering 选项是否在 Off ,请改成 On 或者 4096 FengCms 安全说明 1、修改后台密码。在后台右上角点击“修改密码”进行修改。 2、修改后台认证码。在 /config.php 配置文件中修改。 3、修改后台路径。直接修改 admin 目录名即可。 Linux 权限配置777 PS:安装在linux服务器下要注意给以下目录文件夹和其下的子文件777权限。 /admin/app/dbbackup 数据库备份目录 /admin/app/cache 后台缓存文件 /app/cache 前台缓存文件 /template 模版目录 /css 样式目录 /upload/ 上传目录 /config.php 配置文件 新L标签写法 老的万能标签写法: {loop M("module")->l("article"…… 新的万能标签写法: {loop l("article"…… 也就是说,省略调了“ M("module")-> ” 原先写的模版没有必要修改,因为兼容老的写法。 FengCms前台页面: FengCms后台管理:  后台地址:/admin/login.php 用户名:admin 密码:123456 认证码:8888  后台页面:   相关阅读 同类推荐:CMS系统
fengcms-含有系统重装漏洞源码包.zip
12-31
fengcms-含有系统重装漏洞源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除
fengcms v1.32 beta
10-23
FengCms——由地方网络工作室基于PHP+MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! 经过一年多的准备工作以及半年的紧张开发,FengCms终于拨开红纱,正式面世了。初次出阁,颇为娇羞,请各位朋友爱怜轻拍!FengCms不含会员系统,评论系统(用新浪微博评论墙和腾讯微博评论墙代替),没有商城系统等等。FengCms是一款纯粹为展示内容而生的cms系统。FengCms含有灵活多变的模块系统,你可以自定义出来任意你想要的模型(有点小吹,由于是第一个版本,所以还有所欠缺,不过我们会努力的。)FengCms系统可以用来制作企业网站,文章网站,图片网站,电影网站,导航站等等等等不需要交互系统的各种类型的网站FengCms系统建好网站之后,网站的管理极其便利,会让任何编辑爱上我们的cms系统的!细节之处,提现用心! 系统安装路径:/install/index.php后台路径:/admin/login.
PHP代码审计3—系统重装漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-26 1017
PHP代码审计之系统重装漏洞入门
PHP代码审计——系统重装漏洞fengcms
W小哥
08-07 1132
一、漏洞描述 在CMS安装过程中,由于配置文件过滤不严,导致在安装过程中可以插入配置文件恶意代码,从而执行任意命令,甚至直接获取Webshell 二、代码审计 查看安装
[代码审计] fengcms1.32从详细漏洞分析到漏洞利用
PANDA墨森的博客
12-20 634
##前言 这是我在此发表的第一篇代码审计的文章,仅供学习参考!首发于哈拉少安全小队微信公众号 一、Cms初识: FengCms——由地方网络工作室基于PHP+MYSQL开发。是一款开源的网站内容管理系统。系统支持自由订制模型,你完全可以用FengCms打造一个你想要的任意展示模型。模版和程序分离、自由标签系统,让FengCms灵活无比。拥有FengCms,你可以完成国内95%的网站制作需要! -目录结构: 二、漏洞描述: 在fengcms的安装程序中,由于安装...
xKungfoo2013:0day漏洞分析技巧与挑战
漏洞分析的核心是确定“根本原因”——找到外部输入数据与漏洞之间的关系。这通常涉及多种技术,包括动态调试(如使用Windbg或OllyDbg设置断点)、静态分析(如使用BINIDA工具分析二进制文件)、源代码审查,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值