代码审计之Fiyo CMS案例分享

前言

Fiyo CMS是小型的商务电话服务及移动合作工具,由一名前职业学校学生首次开发和创建的,后者当时在RPL的SMK 10三宝垄学习。 那时他的名字不是Fiyo CMS,而是Sirion,它是Site Administration的首字母缩写。

PS:虽然网上有一些分析文章,但是通过本次审计,还是发现了一些其他的漏洞,再次做个总结,漏洞触发过程均以gif图片来展示。

审计漏洞

任意文件删除

漏洞文件位置:dapur\apps\app_config\controller\backuper.php,实际上这个cms多处都存在这个问题。

可以非常明确的看到这个程序供的大部分功能都是用于备份,但是POST传过去的参数又不经过过滤直接和路径进行拼接(第10行),导致路径穿越,再结合 unlink 函数就导致了任意文件删除。下面看这个的攻击demo:

SQL注入点

注入点一:

该cms的update方法中存在SQL注入,可以看到程序对变量 $where 直接进行了拼接,具体代码如下:

举个例子,我们对 dapur\apps\app_user\controller\status.php 文件进行SQL注入,这里直接用sqlmap进行验证,后台用户身份,访问链接 http://192.168.43.229/fiyocms/dapur/apps/app_user/controller/status.php?stat=1&id=1保存请求包为headers.txt,将参数id=1改成id=1*,然后使用命令sqlmap -r headers.txt –batch –dbs ,效果如下:

注入点二:

待绕过

漏洞文件在system\function.php 中的oneQuery方法。

文件读取漏洞

这里只能读取后缀为:html、htm、xhtml、js、jsp、php、css、xml 的任意文件,漏洞文件在dapur\apps\app_theme\libs\check_file.php中,第5行代码未对$_GET[src] 和 $_GET[name] 变量进行过滤,导致路径穿越,结合file_get_contents函数,造成文件读取漏洞。

效果如下:

任意文件上传漏洞

这个漏洞是在登录后台的时候,发现有个文件管理的功能。于是查看了一下程序源代码,果然没有过滤。看下图最后四行代码,又是路径穿越,也不检查文件后缀名。

效果如下:

CSRF添加超级用户

漏洞位置 dapur\apps\app_user\sys_user.php,代码如下:

可以看到该程序实现了添加用户的功能,但是并没有使用token来防止CSRF攻击,所以我们可以很容易的构造如下POC:

当管理员点击我们构造好的页面http://192.168.*9.229/csrf.html ,将添加一个test10用户到Super Administrator组

任意文件名修改漏洞

漏洞位置dapur\apps\app_config\sys_config.php,本来程序提供的功能是修改后台路径,但是对变量进行过滤,代码如下:

我们可以将 config.php 修改成 config.txt ,然后直接查看网站配置信息。

越权漏洞

fiyocms一共设置了5个用户组,等级为1-5,权限依次降低,而只有等级1-3有权限登录后台,不同等级具有不同的权限。

漏洞文件在dapur\apps\app_user\sys_user.php,可以看到程序在对用户账户进行操作前,并没有对用户的身份进行确认或者说没有对用户的权限进行检查,这也是越权漏洞产生的原因。

攻击演示如下:

总结

可以看到,该CMS存在很多与文件相关的漏洞,究其原因,就是没有对变量进行路径符号的过滤。至于CSRF和越权漏洞,应对用户身份进行确认、增加token值检测,从而避免这类漏洞的发生。本次审计由于前台提供的功能较少,所以基本上挖掘的都是后台的漏洞。笔者为了节省审计时间,直接根据后台提供的功能,找到相应代码进行审计,这样能大大加快审计速度。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180607B1AJIF00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

玩转腾讯云 有奖征文活动