这个文章主要是记录一些我在审计过程中一些比较常规比较简单的漏洞,后续会一直更新
Discuz
Discuz! X 3.4 admincp_misc.php SQL注入漏洞
这个漏洞就是没有对输入进行过滤导致的,没啥好说的
source\admincp\admincp_misc.php 721行
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GplAxGFu-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320195756881.png)]](https://img-blog.csdnimg.cn/e79fe66369204945bd9719613b17ea86.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
复现
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G2qrAFLd-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220320195657424.png)]](https://img-blog.csdnimg.cn/68cdc3b5785c4add991f89941f9aab45.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
Discuz ML! V3.X 代码注入漏洞
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-KQjJ4MhU-1648783376624)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319153923305.png)]](https://img-blog.csdnimg.cn/c1dbfea49b334410b76ed3afb9140e16.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
复现
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fyH8hwbh-1648783376624)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220319154010932.png)]](https://img-blog.csdnimg.cn/68b58772892e4b6a95ca62962b6227b4.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
参考链接:
https://www.anquanke.com/post/id/181887
Joomla
SESSION反序列化导致的rce
大概就是session解析时,|被认定为键名和键值的分割,导致攻击者构造特定的payload并用特殊字符截断session后面的字符串,可以控制反序列化的内容导致反序列化rce
https://www.leavesongs.com/PENETRATION/joomla-unserialize-code-execute-vulnerability.html
EmpireCMS
EmpireCMS 7.5 后台文件上传getshell(CVE-2018-18086)
这个漏洞是在上传文件时,虽然对于文件名进行了随机修改,但是后面又包含了这个文件,导致可以包含文件写shell
进入后台,点击管理数据表
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7g6bewLz-1648783376625)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110615785.png)]](https://img-blog.csdnimg.cn/907cc42a3a8f4808897af563b0b25e47.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
创建一个1.mod,内容为:
<?php file_put_contents("shell.php","<?php phpinfo(); ?>"); ?>
然后点击导入系统模块,如图
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-d4IVxyMt-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110746709.png)]](https://img-blog.csdnimg.cn/a49bdd3565ca446ea332b4c4266f680b.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
点击马上导入
然后程序到e\admin\ecmsmod.php导入模型
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-46SGYhy7-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110854178.png)]](https://img-blog.csdnimg.cn/0ef48116fb1d43bcb699aba8a6ecaab6.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
跟进loadinmod函数,红框可知首先对于存放路径是根据时间随机生成,然后再2452行将上传的文件保存在path下
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YCfSYwuh-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401110957734.png)]](https://img-blog.csdnimg.cn/70e5577227fa468283bf2d38da425fdf.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
可以看到我们上传的文件的文件名被重新随机生成了
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1yVvltGK-1648783376626)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111758925.png)]](https://img-blog.csdnimg.cn/0280e1311de54a61ab23a8764ff4213d.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
虽然我们上传了文件并且后端会给我们以php结尾存放这个文件,但是文件名是随机生成,所以我们不知道我们上传的shell名字是什么,也就无法继续利用
但是!走到2458行的时候会包含这个文件,我们可以利用包含文件写shell来重新写一个shell,1.mod内容如下
<?php file_put_contents("shell.php","<?php phpinfo(); ?>"); ?>
包含文件后,就会在e/admin/目录下生成shell.php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DUqEeAjO-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111859519.png)]](https://img-blog.csdnimg.cn/0cb58a1cc09c4436a40b790fd18b0507.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
内容为
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-r43rUXLs-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111917964.png)]](https://img-blog.csdnimg.cn/8fa6c611dd6f4d4db440ae9a0bdd2509.png)
访问,成功拿到phpinfo
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oV4SqFB7-1648783376627)(C:\Users\91136\AppData\Roaming\Typora\typora-user-images\image-20220401111948977.png)]](https://img-blog.csdnimg.cn/d42773ac927f4f85aa8113ecd348e6a8.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5rWU6Ziz5rGf5aS05aSc6YCB5a6i5Li2,size_20,color_FFFFFF,t_70,g_se,x_16)
总结
代码审计三大难点
- 该变量怎么来的,是否可控
- 怎么绕过对于这个变量的过滤
- 怎么复现这个漏洞,因为往往要到达危险函数处还需要一些其他参数(尝试在web页面上找到触发该漏洞的点)
|