BlueCMS-前台盲注
前言:俺开始学代码审计了,之前一直在黑盒方面学习,黑盒漏洞挖掘,没有接触过白盒,于是开始学习代码审计。【PHP代码审计项目】系列是一些用来学习练手的CMS的审计笔记,写的不好,但是也是一个记录吧,多年之后再看也是会感慨万千吧哈哈,最后学习完了代码审计我会写一个总结性的文章,还望各位大佬师傅轻喷,欢迎随时指教小弟……
审计环境
- phpstudy 2018
- php-5.4.45
- Apache 2.4.23
- phpstrom 2018
- CMS源码:BlueCMS
审计过程
- 使用正则表达式在phpstrom全局搜索sql语句,找可控变量
1 | (update|select|insert|delete|).*?where.*= |
- 跟进代码,看$ad_id是否可控
- 可以看到,GET方式接收变量,接收时没有任何过滤,继续跟进getone(),看是否有过滤
- getone()没有过滤,继续跟进query()
- query()也没有过滤
漏洞复现
- 那么就很简单了,直接访问,构造sql语句开始注入,加单引号,成功报错
- 尝试联合注入,但是没有回显位,上sqlmap盲注直接抬走哈哈
1 | python sqlmap.py -u http://localhost/cms/bluecms/ad_js.php?ad_id=1 |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 X1ly?S!
联系我
相关推荐
2024-06-20
BlueCMS审计
BlueCMS审计审计过程还是采用正则搜索sql语句的方式,一个一个找可控变量 ad_js.php 这里很明显,ad_id参数值可控,然后又是直接拼接的sql语句,拿给getone函数去执行,那么再跟进看看getone函数写了什么过滤逻辑没有 很好,没有过滤逻辑 那么来触发漏洞,存在漏洞的文件是ad_js.php,参数是ad_id,数字型注入,不用闭合引号 那么直接注入就行 结果输出在注释 但是这里其实也是有过滤的,过滤的逻辑没有直接写在本文件中,而是在包含的文件中: 这里有对输入的参数值进行转义的逻辑 检查是否启用了魔术引号功能,如果没有启用,则用自定义的函数对输入的参数进行引号等符号转义,跟进一下deep_addslashes函数 如果参数是数组类型,则递归处理数组每一个元素,都进行引号等符号的转义 使用php内置的addslashes函数进行转义 123456addslashes() 是 PHP 的一个内置函数,用于向字符串中的特殊字符添加反斜杠(\),以便它们可以在某些上下文中被安全地使用。具体来说,它会为以下字符添加反斜杠:单引号...
2025-01-05
XYHCMS审计任意文件删除导致重装漏洞
环境搭建 https://github.com/gosea/xyhcms3/releases/tag/3.5 xyhCMS3.5 20180508 php 7.0.12 Apache mysql 5.5.53 审计分析 全局搜索unlink定位到一处sql文件删除代码段 123456789101112131415161718192021public function delSqlFiles() { $id = I('id', 0, 'intval'); $batchFlag = I('get.batchFlag', 0, 'intval'); //批量删除 if ($batchFlag) { $files = I('key', array()); } else { $files[] = I('sqlfilename', ''); } if...
2024-08-31
taoCMS-后台注入
环境搭建 我用的是 phpstudy2018+php-5.4.45+Apache 白盒审计 手工审计 审计思路选择由于功能点太多了,于是果断pass掉功能点审计法与SQL语句监控法,因为功能点太多,那么需要触发的SQL语句也会很多,一时半会还真不好找,于是我选择正则表达式审计法 1(?:SELECT|INSERT INTO|UPDATE|DELETE FROM|CREATE TABLE|DROP TABLE|ALTER TABLE)\b[\s\S]*?; 一共匹配到的有效SQL语句也就30来条左右,通过简单看看这些SQL语句,又可以排除大部分明显不可控的固定的SQL语句,那么剩下的就一条一条验证看是否可控 最终觉得 **\include\Model\Datastore.php **这个文件中的一处SQL语句有点可疑 开始着重审计 审计过程123456789101112131415161718192021function create(){ header('Content-type:...
2025-01-06
x5music3.0后台权限绕过审计
x5music3.0后台权限绕过审计环境搭建 https://pan.baidu.com/s/1lDhkA_59Vcc3MnM2lsmlxg?pwd=e9jc x5music v3.0 Apache php 5.5.38 mysql 5.5.53 审计分析 首先登录看看管理员页面,后台地址是 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php 接着我们注销管理员账号,再次访问 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php,提示我们重新登录,说明这些管理员的页面肯定是有一些鉴权的函数的(废话肯定有啊),接着我们跟进到代码层去找到那个鉴权函数,看看是否能绕过,使得我们不知道管理员密码也能登录管理员账号 既然后台是/x5admin/admin_index.php...
2025-01-04
新起点网校审计getshell
环境部署 宝塔一键部署 新起点网校3.0.5以下版本 审计分析全局搜索upload关键字,最终在api模块的uploader控制器的uploadfile方法里发现端倪 定义了上传成功的路径...
2024-06-20
梦想CMS-后台注入
前言:俺开始学代码审计了,之前一直在黑盒方面学习,黑盒漏洞挖掘,没有接触过白盒,于是开始学习代码审计。【PHP代码审计项目】系列是一些用来学习练手的CMS的审计笔记,写的不好,但是也是一个记录吧,多年之后再看也是会感慨万千吧哈哈,最后学习完了代码审计我会写一个总结性的文章,还望各位大佬师傅轻喷,欢迎随时指教小弟…… 审计环境 phpstudy 2018 php-5.4.45 + Apache phpstrom 2018 CMS源码:梦想CMS-v1.4 审计过程 根据提示,找到目标文件 BookAction.class.php 其中,”获取回复数据”的代码段,肯定涉及了数据库操作,并且使用GET或者POST方式接收参数id,也就是说id可控!但是需要进一步跟进代码,看怎么执行的sql语句,中途是否有过滤? 跟进getReply(),跳转到它的函数声明 对数组参数$id做了一些处理,implode()把数组参数id转换为以逗号分隔的字符串$id,再把$id拼接”uid in ()”之中,赋值给$param,作为SQL语句中的WHERE...
评论