|
4 u- f; ?0 }2 O/ O) A) [ 前言这个CMS非常适合入门代码审计的人去学习,因为代码简单且漏洞成因经典,对一些新手有学习价值,前台注入从入口开始:/semcms/Templete/default/Include/index.php  " }; Z6 V9 s9 U3 c. d
跟进web_inc.php,首先包含1)db_conn.php:建立与数据库的连接,代码量很少也很简单。  2 X8 ~5 `& W+ ?: H# F
2)contorl.php:对$_GET进行全局过滤危险的SQL函数。  $ @8 k5 K: b7 g) G( \% g0 V9 i
这个过滤从最简单的角度来说,即mysql<8的情况下,把select禁用了,其实就没办法进行跨表查询,SQL利用造成危害的可能性会大大降低,当然这是一种直接且无需考虑用户体验为原则的暴力做法,点到为止吧。
) M s$ B# f( u* [* J5 [/ O K) U 回到web_inc.php,继续阅读,后面吸引我的地方,在于 89 line一处SQL语句的地方。  4 z" s8 z) `8 l( l& [8 N) m
可以看到$Language没有单引号,直接拼接到语句中,且值由POST方式传递,不过这里经过了verify_str函数,导致我没有办法利用select进行子查询,获取到sc_user表的后台管理员用户密码,那么事实真的如此么?
! R4 {% W, y4 ?1 e7 r' N $Language=test_input(verify_str($_POST["languageID"]));经过verify_str函数处理后,会传入test_input函数,其返回值将会拼接进SQL语句中进行查询。 
0 i) J7 X7 x2 R' T test_input里面有个有趣的函数stripslashes,函数的作用就是用于去除反斜杠,举个如图例子  3 {. W8 y# t% y5 D: b: ?
那么绕过verify_str思路就水到渠成了。  2 s7 T" _8 W0 W; v( t
分析下payload的原理languageID=-1 uni\on sel\ect 1,concat(user_admin,0x2d,user_ps),3,4,5,6,7,8,9,10,11,12,13
1 Q, a; Z; [* q ,14 from sc_userun\ion&&sel\ect绕过了verify_str函数的正则匹配,经过test_input的stripslashes去掉反斜杠,最终拼接到数据库中执行的语句,实际上 
; s3 f2 z( E' Y) } 返回的后台管理员的账号密码信息到$tag_indexmetatit变量中。 
# r! x% I3 D& Z: A0 V% K5 L" f+ i 并经过if判断传递给$indextitle变量,最终直接被echo到返回包if (empty($tag_indexmetatit)){$indextitle=$tag_indexkey;}else{$indextitle=$tag_indexmetatit;}5 O- s9 c% O' H {
。 9 v3 _' Z% E- c" n' Q
if (empty($tag_prometatit)){$protitle=$tag_prokey;}else{$protitle=$tag_prometatit;}
" e7 Y/ K+ I5 c1 V2 S if (empty($tag_newmetatit)){$newstitle=$tag_newkey;}
' Q- X2 G" b# h+ x' r# |5 \( Z else{$newstitle=$tag_newmetatit;}  
7 j0 Q% X" Q; v& t8 l) S 小结 由于web_inc.php是所有前台文件都会包含的,所以说这个注入点在任意前台文件中都可以无条件触发,唯一的区别就是其他文件可能没有回显的地方当然,同样地基于此绕过原理,还可以找到很多处类似的注入或者其他更为简单且直接的注入点,这些就留给读者们自己探索。 " o, R+ k$ g' V2 C
【→所有资源关注我,私信回复“资料”获取←】1、网络安全学习路线2、电子书籍(白帽子)3、安全大厂内部视频4、100份src文档5、常见安全面试题6、ctf大赛经典题目解析7、全套工具包8、应急响应笔记 5 S) v& D7 N& C) } J* @( |7 _7 w. w3 J6 q
寻找后台 虽然在0x01中挖掘到了前台无限制回显的SQL注入漏洞,但因为查询数据库用的是mysqli的query函数而不是multi_query函数,故注入点并不支持堆叠注入,这直接导致我们少了一条SQLGetSHell的道路。
' H; M& T* V$ ]0 b$ G8 q! M7 i6 z 值得开心一点的是,我们目前可以通过注入点获取到管理员的账号密码,不过这个CMS的后台地址安装时是随机生成的,所以找到后台地址很困难,下面是自己尝试寻找后台的失败过程,很可惜没有突破失败的过程semcms/install/index.php
0 }, R+ m2 U5 j+ b1 g 安装文件有后台地址的生成代码  8 j1 @: \$ W/ J, a8 B
那么我的思路,就是全局定位$ht_filename变量,看看有没有对此进行操作并存储的代码。 
( D, [3 \, `- j( ] 很遗憾,并没有找到对此变量引用的代码还没到放弃的时候,一般这个时候,我还会额外找找一些其他的办法比如搜索scandir函数,该函数作用是列出指定路径中的文件和目录,目的是通过找到类似目录遍历漏洞的点,从而找到后台地址。  4 B6 @4 x5 s' ~
继续回溯TemplateDir 
' d: w" _' d. m' w4 S0 g" _ 可惜的是,发现传入的第一个参数是固定的,故这个思路也断了,暂时没有想到其他的好办法了GetShell思路 目标CMS的代码量并不高,故寻找GetShell的思路,可以采用危险函数定位的方法来进行快速排除并在存在漏洞的可疑的地方再进行回溯分析。
: i' \1 X C5 s D1 {6 Q" V 定位思路文件包含函数:流程控制requireincluderequire_onceinclude_once文件操作函数: 文件系统函数copy — 拷贝文件delete — 参见 unlink 或 unset
. z3 G8 {: C( v( N. V, j8 n ` fflush — 将缓冲内容输出到文件file_get_contents — 将整个文件读入一个字符串file_put_contents — 将一个字符串写入文件fputcsv — 将行格式化为 CSV 并写入文件指针
6 K5 z$ g4 V0 f9 O7 ]3 Q8 [ fputs — fwrite 的别名fread — 读取文件(可安全用于二进制文件)fscanf — 从文件中格式化输入fwrite — 写入文件(可安全用于二进制文件)move_uploaded_file — 将上传的文件移动到新位置 ! r3 R, g9 @1 E" [; p
readfile — 输出文件rename — 重命名一个文件或目录rmdir — 删除目录unlink — 删除文件代码注入函数:eval — 把字符串作为PHP代码执行assert — 检查一个断言是否为 false
/ N& l+ h/ D/ f: z. k3 {5 c. ] preg_replace — 执行一个正则表达式的搜索和替换命令执行函数:程序执行函数escapeshellarg — 把字符串转码为可以在 shell 命令里使用的参数escapeshellcmd — shell 元字符转义 . Z' M _+ V: T# @( _
exec — 执行一个外部程序passthru — 执行外部程序并且显示原始输出proc_close — 关闭由 proc_open 打开的进程并且返回进程退出码proc_get_status — 获取由 proc_open 函数打开的进程的信息
% X' g& {8 I" n; }6 [ proc_nice — 修改当前进程的优先级proc_open — 执行一个命令,并且打开用来输入/输出的文件指针proc_terminate — 杀除由 proc_open 打开的进程shell_exec — 通过 shell 环境执行命令,并且将完整的输出以字符串的方式返回。
% d% W T* ^ c8 e system — 执行外部程序,并且显示输出变量覆盖:extract — 从数组中将变量导入到当前的符号表parse_str — 将字符串解析成多个变量后台GetShell搜索file_put_contents $ e. t5 D+ ?' B& s- I3 J V
函数,只有两个结果,一个是参数写死,故放弃,故只剩这个分析。 
, R% [7 K7 O5 h5 O V, `4 [4 G5 k 写入的文件$templateUrl得到的值是固定两种类型../index.php 根目录
' v" l- C$ h: _# G ../.htaccess 根目录function Mbapp($mb,$lujin,$mblujin,$dirpaths。 . l$ a2 i2 n- E+ ]/ r9 b# q
,$htmlopen){
1 I& N+ N: t2 [- y# Z0 J x1 u' S) `
9 ?8 X0 p% `1 }: }
if ($htmlopen==1){$ml="j";}else{$ml="d";}
: q; t0 a8 h' G8 W8 M
$ X# C/ X+ }/ j9 d $template="index.php,hta/".$ml
) z) y" r* B' q' n0 m" o ."/.htaccess"; //开始应用模版
8 l( T/ V2 c& x/ A; c6 a" [' J+ G // 1.$template=index.php,hta/j/.htaccess& `+ W& i: V# P# p; x0 G
// 2.$template=index.php,hta/d/.htaccess1 z6 a8 x6 z$ d! i3 B/ B
+ X7 e8 } \1 N- X9 V# ]/ A" f $template_mb=explode(",",$template);
. N( J0 g: z9 m9 m" C //$template_mb 根据,分割为index.php和hta/d/.htaccess的数组% S" {- v0 C4 |
& d/ @3 ]( r0 x0 k5 ] for
7 S" b3 m+ U7 U3 M) S1 s N% _* ` ($i=0;$i 7 D# | o4 |$ x; `5 { f' W' S8 A
$mblujin.Templete/.$mb./Include/.$template_mb[$i]);
) W+ _# j0 l- F1 I // ../拼接$template_mb[$i]中的"hta/".$ml
! F, ~* \* N+ P D/ O* h0 E ."/"字符串替换为空的结果
6 a. T9 u3 z& r! q& G0 t# O4 h // 即得到../.htacess 或者 ../.index.php
+ p; c* h) s1 f2 K1 B' m9 _ $templateUrl = $lujin.str_replace( + q2 `2 {8 `& \3 w
"hta/".$ml."/","", $template_mb[$i]);
4 ~) N# i. V8 v$ \1 B; z // 修改$template_o的标记为$mb的值
w. p- k5 X. a * N4 j) _+ s7 a5 Z( D+ |8 I
$output = str_replace(, $mb, $template_o);
1 i, V5 @1 o* H% j5 G $output = str_replace( ( D* h5 Z; \ s" U; \! X' Z
, $dirpaths, $output);5 U; [7 T1 g e ~2 g
// 将替换的内容写入到$templateUrl指向的文件% y, `' X9 S8 Y
file_put_contents($templateUrl 3 L' ~7 u: s9 ?
, $output);
7 |' R! k# \' n
{& D: h4 N8 C" v }
8 @) F3 U$ }! m; g+ F) C; ^. P( T8 e4 j+ S; d& e
}那么这个函数如果$mb可控的话,会发生什么问题?问题一能够修改semcms/Templete/default/Include/index.php中的
! Q+ w$ M6 X2 b# M! y& p 的内容 
3 R6 G8 `1 g5 l/ h9 @% X6 T 那么可以尝试如下的形式构造payload:/semcms/N8D3ch_Admin/SEMCMS_Template.php?CF=template&mb=default/.phpinfo():./..最终的话会在
$ h6 }- \8 {0 H$ p+ l7 r6 y semcms/Templete/default/Include/index.php写入如下图所示。 
0 v5 F+ b0 s) n8 \. S& X 问题2能够修改根目录.htacess的内容与 .htaccess 相关的奇淫技巧SetHandler application/x-httpd-php此时当前目录及其子目录下所有文件都会被当做 php 解析。 ) y4 X" d+ J4 e( k T& h
那么可以尝试如下的形式构造payload:/semcms/N8D3ch_Admin/SEMCMS_Template.php?CF=template&mb=default/%0aSetHandler%20application/ , w" w3 r' ?4 c4 d
x-httpd-php%0a%23/../..' C* g: i4 j' H0 z+ x0 B3 |/ o
% x; I$ G- C& s& R2 g
//这里因为application/x-httpd-php中带有/,所以多需要一个../进行跳转 
& I* D3 v4 K j: w3 i 最终写入的内容: 
/ n3 ?4 d/ q0 a$ M. V$ f 那么我们随意上传一个文件,即可当作PHP来解析。那么$mb到底是否可控呢? 回溯Mbapp函数的上层调用,可以发现可以通过$_GET[mb]来控制。  * M+ e: j! k- s$ N
不过因为文件引进/semcms/Include/contorl.php,会调用verify_str对$_GET变量进行过滤。 
, D. n) k/ T+ v4 i/ V 很不凑巧,过滤了单引号,导致我们问题1覆盖的index.php的思路直接断了,因为根本没办法逃逸出单引号不过问题2的话,倒是可以成功,因为传入的内容并不在inject_check_sql的黑名单中,可以成功地覆盖。 0 a, A0 N: q, I+ s' o$ ^
.htaccess文件,不过这种方式也是有局限性的,需要Apahce是通过module的形式加载PHP的文件来执行才可以,并且需要在Linux环境,因为window不支持跨越不存在的路径任意文件删除 最后还想额外提一下关于后台的漏洞,便是其中一个任意文件删除漏洞,这个删除点不是直接的点,而是先通过构造需要删除的文件路径存进数据库,再通过触发其他点进行获取,传入 * @6 m0 v8 T, g
unlink中进行删除,这种类型笔者称之为二次任意文件删除漏洞,很是经典。漏洞演示:1)传入../rmme.txt作为图片的路径  * K) X8 H, P- _+ I; Z' m2 w* k
2)选择删除图片后,会删除文件网站根目录下的rmme.txt文件 
, H; B2 }' t, n+ m5 A 成因 1) 添加URL入库的时候,只是做了test_input,并没有过滤..。 
6 j* Q( a8 S! v) ~ (2) 直接入库  
+ x; E, ?' d# r7 [( ~, L/ b (3) 删除图片的时候,传入AID,获取到images_url字段的值../rmme.txt传入Delfile函数进行删除。  9 A* J' c# @- [9 i. b
Delfile函数先判断文件是否存在,再使用unlink删掉文件,全程没有一丁点的过滤,送分题!  6 }- j$ w3 E$ w6 k% I
总结 本文直接从一个入口的注入点展开,想找到一条合适的链路到GetShell的完整过程,但是遗憾的是,没能解决6位随机后台地址的问题,故实际利用起来的话,局限性还是有的,姑且称之为一次分享式的尝试性代码审计体验录吧。 ( F, m/ D! z+ ?4 |! L: h
0 W$ e; h0 o Q, r E1 r- \; y k8 `
7 L$ g0 o! b) d6 p) h# h" G' B. M/ [+ `6 y) e5 c
! X4 [2 P& p6 J" o' M3 E. U
| 
