代码审计之zzcms网站管理系统

前言

代码审计,最重要的就是多读代码,对用户与网站交互的地方要特别注意。在进行审计时,我们也可以使用一些审计工具来辅助我们进行工作,从而提高效率。下面,笔者将分享审计zzcms8.2的过程,与大家一起学习。这里,笔者使用seay源代码审计系统软件进行辅助工作。

审计流程

首先,笔者打开seay源代码审计系统软件,将要审计的网站源码导入项目,然后点击自动审计。当审计完成时,我们需要根据自动审计的结果,进行逐一验证。当然,我们不需要真的每个文件都打开看过去,可以根据扫描报告中的漏洞详细信息来判断是否可能存在漏洞,如果你觉的某个地方可能存在,这时,你再打开具体文件查看。

如果你想查询某个变量或者函数在代码中的具体位置,你也可以使用全局定位搜索,该软件会快速地定位找出具体文件,这一功能大大加快了我们审计的速度。对于来自用户的数据以及后端对数据库的操作,我们要特别注意。下面笔者介绍zzcms8.2的审计过程。

代码审计实例:zzcms8.2

sql注入漏洞

首先,"/user/del.php"开头两行包含了两个文件"/inc/conn.php"、"/user/check.php",而"/inc/conn.php"又包含了一些文件,其中要关注的是"/inc/function.php"和"/inc/stopsqlin.php"。其中"/inc/function.php"提供了一些关键的功能函数,而"/inc/stopsqlin.php"则是防止sql注入的。

包含"/inc/stopsqlin.php"文件,则会对REQUEST的数据进行过滤,具体代码如下

我们来看一下"/user/check.php"函数是否存在可利用的地方,这个文件中有5处SQL语句查询,第一处,无法利用,因为首先参数经过"/inc/stopsqlin.php"消毒处理,且被单引号包裹,无法闭合。

剩下4处SQL语句要想执行,就必须要先进行注册账号。先来看第二处的sql语句。我们再看getip()函数时,可以发现这里的ip可以伪造,而且代码未经任何过滤,仅仅只是用单引号包裹拼接。

那么我们直接用sqlmap跑一下,这里我事先注册好了test用户密码为test,zzcms将用户的密码经md5加密后存在数据库中,结果如下:

那么最后剩下的3处sql语句都无法利用,继续往下看。

在130多行处,我们发现有一个sql语句直接将变量直接进行拼接了,而这个变量可直接从post方式获取,代码未经任何过滤直接拼接,从而引发了sql注入。

作者vr_system于2018-02-07发表了ZZCMS v8.2 最新版SQL注入漏洞(http://www.freebuf.com/vuls/161888.html) 一文,文中使用的payload为

但是这并不是一个通用payload,因为如果zzcms_answer是一个空表,则该payload无法利用,所以我们改进一下,payload改成如下即可,这里注意不能使用大于号、小于号,因为post上来的数据被addslashes()、htmlspecialchars()、trim()三个函数消毒处理过了。

在"/user/logincheck.php"、"/admin/logincheck.php"中也存在多处由ip导致的sql注入,这里就不一一列举了。

任意文件删除漏洞

该漏洞发生在80多行处的变量,该变量直接由与拼接而得,并未过滤和字符,导致跨目录删除文件。所以按照代码逻辑,我们只要让不等于,且等于"modify"即可。

payload如下:

同样的漏洞发生在"/user/licence_save.php"30多行处

payload如下:

该漏洞还存在于"/user/manage.php"、"/user/ppsave.php"、"/user/zssave.php"、等文件中。

网站重装漏洞

来看一下"/install/index.php"文件的代码流程,发现这里并没有检测"/install/install.lock"文件是否存在,那应该是在其他文件中。

然而发现,只有"/install/step_1.php"文件在开头有检测"/install/install.lock"文件是否存在(存在表示已经安装过),其他"/install/step_2.php"、"/install/step_3.php"、"/install/step_4.php"、"/install/step_5.php"、"/install/step_6.php"都少了该判断导致该漏洞的发生。

所以我们可以跳过第一步的检测,直接访问"/install/step_2.php"文件,payload如下:

反射型XSS

该漏洞出现在"/inc/top.php"文件中,需要用户登录方可利用。之前的大部分文件都会在开头包含"/inc/conn.php"文件,对REQUEST数据进行消毒处理,而这个文件没有,从而导致漏洞的发生。我们只需要将标签闭合即可实现反射型xss。

同样的漏洞还出现在"/uploadimg_form.php"文件66-67行处,这里不赘述。

文件上传漏洞

"/uploadimg_form.php"文件提供了一个文件上传的功能,然而这里没有过滤好,导致可以上传webshell。我们可以来看一下后端代码是如何进行验证的。

首先,先判断文件是否存在,再检查文件是否超过限制,接着检查文件类型,这里可以用GIF89a绕过检查,最后使用黑名单机制检查文件后缀,问题就出在这里,黑名单少过滤了phtml,而apache会将phtml文件按照php文件来解析。所以我们可以构造payload如下,当然,使用copy命令生成的图片木马也可以绕过(例如:copy test.jpg/b+test.php shell.jpg)。

结束语

当然,大家也可以使用其他的审计工具进行辅助,只要适合自己,有利于审计即可。虽然这是一个小cms,但是对于代码审计的新手来说,就是要多读、多看、多想。审计小cms的过程,就是在积累经验的过程,更是对我们将来审计大型框架进行铺垫。这里推荐大家一本书《代码审计--企业级Web代码安全架构》,然后多看看网络上代码审计的案例,最重要的,还要自己动手审计一遍,希望这些技巧能够对你学习代码审计有所帮助。

有问题请联系:redBu11

微信公众号ID:sec-redclub

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180301G08ZSE00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券