雨笋教育小编今日份分享我们渗透讲师的一篇技术干货!
对于一次开源管理系统的源码审计,小试牛刀,记录一下,顺便可以一起学习学习。
开源系统:熊海CMS v1.0
基于环境:Phpstudy
不说了,先搭建一波,再来看看审计~
点击-提交-入魂~
好了,让我们打开源代码审计系统冲一波,把源码拖进来,冲~
自动审计后,发现有34个可疑漏洞,接下来就得来排查,看有没有的的确确可利用的。
漏洞发掘:
/index.php 与 /admin/index.php 存在文件包含漏洞
分析一波:
我们发现定义了一个 r ,并且使用 GET 方式传输,只用了一个 addslashes(返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上反斜线。这些字符是单引号、双引号、反斜线或NULL等)。
然后通过 include 函数,直接包含并运行文件。
尝试利用:
根目录-新建一个 phpinfo.php 文件,内容为:<?php phpinfo(); ?>
Payload:
192.168.3.158/?r=../phpinfo
成功利用。
/inc/checklogin.php 存在越权漏洞
PS:这个漏洞的话,自动审计并没有检测出来,但是 inc 目录下一般存储的都是一些极为重要的配置文件,所以一定要打开看看。
分析一波:
发现定义了一个 user 参数传递到 Cookie 当中,然后用 if 判断传递到Cookie 中的 user参数,值是否为空,如果为空,跳转到 登录界面。
没有任何过滤,我们试想一下,如果自主添加一个 user 并且赋值,会有什么效果。
尝试利用:
先登入后台,获得路径,然后注销登录。
Payload:
192.168.3.158/admin/?r=wzlist
现在右上角这里有用户名显示,因为我们现在是正常登录进入后台的。
退出登录后,直接使用 Cookie 管理插件,新建一条Cookie 值,名为 user ,值自定义,不为空即可。 然后,重新访问后台的 url 看看。
我们可以发现,右上角没有 用户名 显示,因为我们是绕过了登录,越权进入的后台。而且,管理员可以使用的权限,我们全部拥有。
/admin/files/manageinfo.php 储存型XSS
分析一波:
我们发现后台资料修改界面,没有任何过滤。
尝试利用:
构造语句,尝试利用。
Payload:
"><img src=1 =alert(/xss/)>
/files/content.php 存在Sql注入漏洞
分析一波:
我们发现 $id 并没有被引号包裹,由此存在了注入。
尝试利用:
构造语句,进行尝试。
Payload:
192.168.3.158/?r=content&cid=16 and updatexml(1,concat(0x7e,(select concat(user,0x7e,password) from manage)),0)
成功通过报错注入获得内容。
其实,这个CMS漏洞远不止如此,先写到这了,hhhh~
*本文章仅供技术交流分享,请勿做未授权违法攻击,雨笋教育不负任何责任。具体请参考《网络安全法》。