ZZCMS8.1审计学习

作者: shiyan 分类: 代码审计 发布时间: 2017-11-03 08:09

前言:

很早就想搞代码审计了,但是一直觉得自己其他方面还差很多,所以一直在各种补,虽说学的还没忘的快。这次选择ZZCMS8.1主要是当初,这个CMS自从离心小姐姐审计了一番后,然后我就看到吐司也有人审计,很多地方都开始审计,我就纳闷了,为啥会有这么多人审计,,,,离心给我说,估计是因为这是ZZCMS吧。。。

0X001

HTTP head SQL injection

用户登录处和管理员后台登录处都是用的同样的代码,所以都是可以注射的。

G:\zzcms8.1\user\logincheck.php 18行—23行

G:\zzcms8.1\admin\logincheck.php 19行—24行

$ip=getip();
$sql="select * from zzcms_login_times where ip='$ip' and count>='".trytimes."' and unix_timestamp()-unix_timestamp(sendtime)<".jgsj." ";
$rs = query($sql);  //执行一条 MySQL 查询
$row= num_rows($rs);  //返回结果集中行的数量

然后跟进一下 getip() 函数

G:\zzcms8.1\inc\function.php 72行—84行

function getip(){ 
if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown")) 
$ip = getenv("HTTP_CLIENT_IP");  //getenv() 获取一个环境变量的值
else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))   //strcasecmp() 比较两个字符串(不区分大小写),如果一直返回0,否则根据情况返回正负相差的数
$ip = getenv("HTTP_X_FORWARDED_FOR"); 
else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown")) 
$ip = getenv("REMOTE_ADDR"); 
else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")) 
$ip = $_SERVER['REMOTE_ADDR']; 
else 
$ip = "unknown"; 
return($ip); 
} 

然后,我们可以看出,HTTP_CLIENT_IP 和 HTTP_X_FORWARDED_FOR 都是可以自己伪造的,并且没有任何限制,所以,这就是一个明显的注入点。

我们就验证下常用的 HTTP_X_FORWARDED_FOR ,来构造下注入语句,测试下。

X-Forwarded-For: 0.0.0.0' and sleep(10) and '1'='1

在用户登录处或者后台管理页面登录处,用 burp 抓包下,添加下上句的 payload ,然后就可以看出页面延时了10秒,从而证明存在注入。

0X002

Reflected XSS

在根目录的 uploadimg_form.php 文件里,存在两处没有任何过滤的可控输入输出。

G:\zzcms8.1\uploadimg_form.php 66行—67行

<input name="noshuiyin" type="hidden" id="noshuiyin" value="<?php echo @$_GET['noshuiyin']?>" />
<input name="imgid" type="hidden" id="imgid" value="<?php echo @$_GET['imgid']?>" />

可以看出可控参数 noshuiyin 和 imgid 都没有任何过滤,所以我们的 payload 只需要闭合下标签就可以达到攻击效果。

uploadimg_form.php?noshuiyin="><script>alert(document.cookie)</script>
uploadimg_form.php?imgid="><script>alert(document.cookie)</script>

这个文件也没有权限控制跳转,所以可以直接弹出弹框。

0X003

Storage type XSS

G:\zzcms8.1\one\link.php 7行—21行

if (isset($_REQUEST["action"])=="add"){
checkyzm($_POST["yzm"]);
session_write_close();
$sitename = isset($_POST['sitename'])?$_POST['sitename']:"";
$url = isset($_POST['url'])?addhttp($_POST['url']):"";
$logo = isset($_POST['logo'])?addhttp($_POST['logo']):"";
$content = isset($_POST['content'])?$_POST['content']:"";

if ($sitename==''||$url==''||$logo==''||$content==''){
	showmsg('请完整填写您的信息');
}

query("insert into zzcms_link (sitename,url,logo,content,sendtime)values('$sitename','$url','$logo','$content','".date('Y-m-d H:i:s')."')");
showmsg('操作成功!提示:提交申请后,请做好本站链接——如果没有增加本站的链接,那么你的申请是不会被通过的。','link.php') ;
}

可以看出,这里只对 sitename,url,logo,content 这四个参数判断了一下是否存在和是否为空,然后就存到数据库里了,没有进行任何过滤和其它的验证。

G:\zzcms8.1\admin\linkmanage.php 127行—140行

<?php
	  $rsn=query("select bigclassname from zzcms_linkclass where bigclassid=".$row["bigclassid"]." ");
	  $rown=fetch_array($rsn); //从结果集中取得一行作为数字数组或关联数组
	  echo $rown["bigclassname"]?></a></td>
      <td><b><?php echo $row["sitename"]?></b><br> 
        <a href="<?php echo $row["url"]?>" target="_blank"><?php echo $row["url"]?></a><br> 
        <?php if ($row["logo"]<>""){?>
        <img src="<?php echo $row["logo"]?>" width="150" height="50"> 
        <?php }else{
		  echo "未填写LOGO地址";
		  }
		 ?>      </td>
      <td><?php echo $row["content"]?></td>
      <td><?php echo $row["sendtime"]?></td>

在输出的界面代码中也没有任何过滤,所以,这就造成了一个储存型XSS漏洞。

好吧,出现了玄学问题,,,从 link.php 文件里存到数据库的那四个参数,其中 " > < 都被实体编码了,好玄学,,,那总得出来个审计出来个储存把?

G:\zzcms8.1\admin\link_save.php 21行—43行

$FriendSiteName=trim($_REQUEST["sitename"]); 
$url=addhttp(trim($_REQUEST["url"]));
$logo=addhttp(trim($_REQUEST["logo"]));
$content=trim($_REQUEST["content"]);
//trim()移除字符串左侧的字符 默认("\0"-NULL ,"\t"-制表符,"\n"-换行,"\x0B"-垂直制表符,"\r"-回车," "-空格)
if (isset($_POST["passed"])){
$passed=$_POST["passed"];
}else{
$passed=0;
}

if (isset($_POST["elite"])){
$elite=$_POST["elite"];
}else{
$elite=0;
}

if ($_REQUEST["action"]=="add"){
query("INSERT INTO zzcms_link (bigclassid,sitename,url,logo,content,passed,elite,sendtime)VALUES('$classid','$FriendSiteName','$url','$logo','$content','$passed','$elite','".date('Y-m-d H:i:s')."')");
}elseif ($_REQUEST["action"]=="modify") {
$id=$_POST["id"];
query("update zzcms_link set bigclassid='$classid',sitename='$FriendSiteName',url='$url',logo='$logo',content='$content',passed='$passed',elite='$elite',sendtime='".date('Y-m-d H:i:s')."' where id='$id'");	
}

这个是管理后台页面的添加友联,代码和上面的差不多,基本一样,那这里总不会出现玄学问题了吧?

我们从这里插入常见的 payload ,<script>alert(1)</script>

恩,成功的弹出来了。

0X004

Reload vulnerability

G:\zzcms8.1\install\index.php 11行/51行—90行

 $step = isset($_POST['step']) ? $_POST['step'] : 1;
<?php
switch($step) {
	case '1'://协议
		include 'step_'.$step.'.php';
	break;
	case '2'://环境
		$pass = true;
		$PHP_VERSION = PHP_VERSION;
		if(version_compare($PHP_VERSION, '4.3.0', '<')) {
			$php_pass = $pass = false;
		} else {
			$php_pass = true;
		}
		$PHP_MYSQL = '';
		if(extension_loaded('mysql')) {
			$PHP_MYSQL = '支持';
			$mysql_pass = true;
		} else {
			$PHP_MYSQL = '不支持';
			$mysql_pass = $pass = false;
		}
        $PHP_GD = '';
        if(function_exists('imagejpeg')) $PHP_GD .= 'jpg';
        if(function_exists('imagegif')) $PHP_GD .= ' gif';
        if(function_exists('imagepng')) $PHP_GD .= ' png';
		if($PHP_GD) {
			$gd_pass = true;
		} else {
			$gd_pass = false;
		}
		$PHP_URL = @get_cfg_var("allow_url_fopen");//是否支持远程URL,采集有用
		$url_pass = $PHP_URL ? true : false;
		include 'step_'.$step.'.php';
	break;
	case '3'://查目录属性
		include 'step_'.$step.'.php';
	break;
	case '4'://建数据库
		include 'step_'.$step.'.php';
	break;

这个ZZCMS也是通过 install.lock 来判断是否已经安装了的,然后我们根据上面的代码可以看出 step 参数如果为空的话,就默认从 1 开始,然后我们跟进下 step_1.php 这个文件。

G:\zzcms8.1\install\step_1.php 1行—5行

<?php
if(file_exists("install.lock")){
echo "<div style='padding:30px;'>安装向导已运行安装过,如需重安装,请删除 /install/install.lock 文件</div>";
}else{
?>

这个文件里判断了当前目录下是否存在 install.lock 文件,如果存在就提示已经安装了,那继续看下 step_2.php 的内容。

G:\zzcms8.1\install\step_2.php 1行—3行

<?php
if(@$step==2){
?>

这里没有继续判断是否存在 install.lock 文件,那继续看下剩下的 step_3/4.php 里有没有判断条件。

G:\zzcms8.1\install\step_3.php 1行—5行

<?php
if(@$step==3){
$token = md5(uniqid(rand(), true));  //uniqid() 函数基于以微秒计的当前时间,生成一个唯一的 ID。
$_SESSION['token']= $token; 
?>

G:\zzcms8.1\install\step_4.php 1行—9行

<?php
if(@$step==4){
if ($_POST['token'] != $_SESSION['token'] || $_POST['token']=='' ){    
echo "非法提交".$_POST['token']."<br>".$_SESSION['token'];
exit();
//}else{
//unset($_SESSION['token']);
}
?>

step_4.php 文件里也没有判断 install.lock ,只是验证了一下在 3 里的那个 token ,所以,3 到 4 这个步骤不能越过,但是,这是个重装漏洞是妥妥的了。

我们只需要进入 install\index.php 路劲文件下,POST 一下 2 ,然后按顺序走下去就重装了这个CMS。

0X005

这个CMS后台管理处,还有一堆储存型XSS。。。。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!

发表评论

电子邮件地址不会被公开。 必填项已用*标注