[代码审计]Mini CMS V1.1

为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。

有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。

爬虫源码如下:

# title: 抓取CNVD漏洞CMS厂商列表
# description: 不想盲目地找漏洞,点对点爆破!boom!
# author: DYBOY
# blog: https://blog.dyboy.cn

import requests
import re

#refer:http://www.cnvd.org.cn/asset/selectedManuList?offset=60&max=10&manuName=cms

#全局变量
keyword = 'cms'  #用于获取厂商的关键词
main_url = 'http://www.cnvd.org.cn/asset/selectedManuList?max=2000&manuName='+keyword
header = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36',
          'Referer':'http://www.cnvd.org.cn'
          }
req = requests.Session()

#获取网页
html = req.get(main_url,headers = header,timeout=10)
html.encoding = 'utf-8'
guize = r"bringBack\('(.*?)\'\)"
try:
    factories = re.findall(guize,html.text)
except Exception as e:
    print(e)

f = open("factories.html", 'w+',encoding='utf-8')
for i in factories:
    print(i,file=f)
f.close()
print('OK!请检查当前目录下factories.html')

今天审计的是Mini CMS v1.1版本,也是最新版(五年没更新了)

官网地址:http://1234n.com/?projects/minicms/

项目地址:https://github.com/bg5sbk/MiniCMS/

MiniCMS是一个针对个人网站设计的微型内容管理系统。它的特点是:

  1. 不需要数据库在支持,只需要一个可以运行PHP的Web环境
  2. 只针对个人网站设计,没有复杂的成员管理和权限设置
  3. 没有分类只有标签,免除发布文章时到底该怎么分类的纠结
  4. 只有“文章”和“页面”两该个系统,没有“评论”、“插件”、“主题”,让你更专注于创造内容

下载 MiniCMS V1.10

作者一个人做出来的,很不错啦!

0x01 安装&简单测试

下载一个 install.php 文件上传至网站根目录,然后访问就可以按步骤安装了!

令人震惊的是,居然不用数据库!!!

数据存放在 /data/ 目录下格式为 .dat

在作者项目的 Github 上发现作者修复了一个重要的漏洞,虽然不知道是啥...

所以感觉此次审计,可能漏洞收获不是很大~


0x02 寻找漏洞

安装完成后,install.php文件自动重命名为install.txt文件,意味着没有重装漏洞!

网站的配置信息保存于 /mc-files/mc-conf.php 如果没有过滤,那么可以通过这个 Getshell

没有数据库,保存到一个.dat文件,看看文件名称是否是随机的呐?

简单发了一篇测试文章后,在 ./mc-files/posts/data/ 路径下生成了一个文件 n0pjip.dat, 博主简单看了一下,是随机生成的,并且在publish.php这个配置文件中有一一对应关系。

但是!!!

see

你看:

访问:http://www.test.com/mc-files/posts/data/n0pjip.dat, 你懂的!虽然没什么较大影响~

这样就构成了一个任意文章数据下载的算是漏洞吧???

查看index.php ,作者将后台与前端展示分离,数据采用配置文件 + 序列化.dat文件组成

这种模式,只适合数据不大的博客网站,一旦数据大了,再加上高并发,文件的读取内容效率不高甚至不稳定,序列化的网站配置这样的功能,采用这种方式是极好的。


0x03 权限问题

默认管理后台地址:http://www.test.com/mc-admin/index.php

登录后,发现,居然没有注销的按钮~,只好清理一下cookie,才退出的!

看一下登陆逻辑!

<?php
require_once dirname(dirname(__FILE__)).'/mc-files/mc-conf.php';

if (isset($_COOKIE['mc_token'])) {  //如果有cookie
  $token = $_COOKIE['mc_token'];

  if ($token == md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) {   //如果cookie的值是MD5 username+pass后的值,则跳转到管理界面
    Header("Location:{$mc_config['site_link']}/mc-admin/post.php");
  }
}

if (isset($_POST['login'])) {
  if ($_POST['user'] == $mc_config['user_name']
  && $_POST['pass'] == $mc_config['user_pass']) {
    setcookie('mc_token', md5($mc_config['user_name'].'_'.$mc_config['user_pass']));
    Header("Location:{$mc_config['site_link']}/mc-admin/post.php");
  }
}
?>

权限判断:

//head.php文件
<?php
ini_set("display_errors", "On"); error_reporting(E_ALL);
require_once '../mc-files/mc-conf.php';

if (isset($_COOKIE['mc_token'])) {
  $token = $_COOKIE['mc_token'];

  if ($token != md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) {   //种方式我们还没法儿绕过~
    Header("Location:index.php");
    exit;
  }
} else {
  Header("Location:index.php");
  exit;
}
...//代码省略
?>

问题出现了,在mc-admin/post.php 文件中的第188行才引入,但是之前的函数都已经执行了,所以这里有判断越权存在

//delete function
function delete_post($id) {
  global $state, $index_file, $mc_posts;
  $post = $mc_posts[$id];
  $post['prev_state'] = $state;
  unset($mc_posts[$id]);
  file_put_contents($index_file, "<?php\n\$mc_posts=".var_export($mc_posts, true)."\n?>");
  if ($state != 'delete') {
    $index_file2 = '../mc-files/posts/index/delete.php';
    require $index_file2;
    $mc_posts[$id] = $post;
    file_put_contents($index_file2, "<?php\n\$mc_posts=".var_export($mc_posts, true)."\n?>");
  } else {
    unlink('../mc-files/posts/data/'.$id.'.dat');
  }
}

测试一下删除文章:

构造 Payload

http://www.test.com/mc-admin/post.php?state=delete&delete=n0pjip

访问后得到效果:

OK! 垂直越权漏洞一枚!


0x04 XSS

在文章处发布一个XSS测试文章

首页访问弹窗,查看源码在content内容中没有转义导致的:

OK!存储性XSS一枚!

此外在配置文件的地方也存在存储性XSS,比如在评论框处插入<script>alert(/dyboy/)</script>

在访问文章页面的时候,会弹窗/dyboy/


0x05 扩大战果

这几个漏洞没啥重大漏洞的感觉!尝试一下 Getshell

发现在这个写配置的时候,第一行就请求了head.php权限控制文件,如果你成功登录了后台,那么这个地方就可以通过修改配置文件来Getshell

构造 Payload: 神秘人');assert($_GET[x]);/*

发现单引号会被转义,找了过滤函数也没找到,自己也测试了一下`var_export()`函数,原来就是这个函数直接给单引号转义了,学习了,暂时没什么好的姿势

卒!

0x06 总结

var_export() 函数真好用!

*原文地址:https://blog.dyboy.cn/websecurity/61.html

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,558评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,002评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 159,036评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,024评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,144评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,255评论 1 292
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,295评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,068评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,478评论 1 305
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,789评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,965评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,649评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,267评论 3 318
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,982评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,223评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,800评论 2 365
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,847评论 2 351

推荐阅读更多精彩内容

  • 文章出处:https://www.ibm.com/developerworks/cn/java/j-lo-audi...
    _String_阅读 2,495评论 1 6
  • 一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 4,823评论 0 9
  • blueCMS介绍 文章转自freebuf,作者Ka1ier 个人认为,作为一个要入门代码审计的人,审计流程应该从...
    FKTX阅读 12,144评论 3 2
  • 又是一年寒冬,电话又响起 “啊,啥意思” “哦...” 因为外婆是湖南人,所以每一年每一次的电话...
    LiWeiyUuu阅读 119评论 0 0
  • 吃过晚饭,我在里屋紧锣密鼓的练习着明天即将到来的电脑考试。客厅里两个宝贝在欢快的玩耍嘻嘻。儿子不时跑过来在我面前撒...
    八七在路上阅读 125评论 0 3