Hsycms2.0代码审计

Stella981
• 阅读 797

文章源自【字节脉搏社区】-字节脉搏实验室

作者-purplet

扫描下方二维码进入社区:

Hsycms2.0代码审计

本篇审计,以hsycms的2.0版本进行审计,官网地址:

http://www.hsycms.com”

Hsycms2.0代码审计

目录结构

Hsycms2.0代码审计

前台首页的模块在index里,index模块的控制器里存在以下文件

Hsycms2.0代码审计

Hsycms2.0代码审计

后台的模块在hsycms文件夹里,hsycms模块的控制器里存在以下文件

Hsycms2.0代码审计

Hsycms2.0代码审计

确定路由与过滤情况

1.确定网站的路由

**(1)通过分析URL直接得出
**

(2)查看app/route.php

Hsycms2.0代码审计

2.了解参数过滤情况

(1)原生GET、POST、REQUEST

(2)系统外部变量获取函数get()、post()、request()

Hsycms2.0代码审计

1.比如如:

http://127.0.0.1/index.php/install/index/complete.html

解析:index.php是入口文件,install是app目录下的模块,index是controller(控制器)文件夹下的Index.php文件,complete.html是Index.php文件里的complete方法

Hsycms2.0代码审计

Hsycms2.0代码审计

1.(2)app.php内容如下

Hsycms2.0代码审计

Hsycms2.0代码审计

首先判断install.lock是否存在,存在进入if判断,接着查询nav表和cate表中的entitle列的所有内容,cate表同理

Hsycms2.0代码审计

Hsycms2.0代码审计

Route::rule('search','index/Search/index');这一句是定义路由规则,访问search,相当于访问index模块下Search控制器下的index方法

foreach循环将上图查询的所有结果的访问(同上一条路由定义语句)都相当于访问index模块下的Article控制器下的index方法

Hsycms2.0代码审计

XSS与SQL注入

XSS漏洞

**黑盒测试
**

在后台留言的地方尝试测试XSS,发送过去。

Hsycms2.0代码审计

Hsycms2.0代码审计

登陆后台在留言管理处成功弹窗

Hsycms2.0代码审计

Hsycms2.0代码审计

且是一个存储型XSS,检查元素也发现什么都没有过滤。

Hsycms2.0代码审计

Hsycms2.0代码审计

如果在实战中,无法登陆后台,可以通过盲打XSS进行,同时注意实战尽量不要使用alert进行弹窗,可以通过XSS平台进行对管理员Cookie的获取,XSS平台"https://xss8.cc/"

创建项目,配置代码选个默认的即可,当然该平台现已有很多功能,读者可自行选择

Hsycms2.0代码审计

Hsycms2.0代码审计

完成后项目会给出很多现成的payload,读者根据实际情况进行简单修改下即可。

Hsycms2.0代码审计

Hsycms2.0代码审计

这里选择第一个默认的,payload:

456发送过去后,回到平台创建的项目处即可查看到获取到的Cookie

Hsycms2.0代码审计

Hsycms2.0代码审计

但是这里我用获取到的cookie,利用Editthiscookie的插件进行替换,刷新后并没有登录进管理员后台。

Hsycms2.0代码审计

白盒审计

首先对存在XSS漏洞的评论处抓个包

Hsycms2.0代码审计

Hsycms2.0代码审计

可以看到发包对后端的请求,经过路由的设置后是发向index模块下的Show控制器下的sendemail方法

Hsycms2.0代码审计

Hsycms2.0代码审计

看下这个方法,首先接受POST请求的值给$data数组,然后对该数组中的datatime参数设置一个时间戳的值,接下来将执行一段SQL语句select email_issend from site where id=1;

如果返回的结果为1,则执行sendmail函数发送邮件。如果提交有数据,则将数据插入到book表中,插入成功则返回留言成功。

这里就存在问题,插入的过程中没有经过任何过滤。

接着去后台的留言管理处抓下包,看下这部分的代码应该在什么位置,这里注意访问后台管理的留言页面抓包后,需要再放下包抓到的第二个包才是真正的请求内容

Hsycms2.0代码审计

Hsycms2.0代码审计

很明显是hsycms模块下的Site控制器下的book方法

Hsycms2.0代码审计

Hsycms2.0代码审计

补充:paginate(每页数量,是否简洁分页,分页参数)

$this->assign('id',$id);//定义一个模板变量id

所以这里值获取book表中数据以id字段为标准进行降序排列且每页只显示10组数据,同时定义两个模板变量:"list"、"page" ,渲染的代码是在view模块、site文件夹下的book.html文件

Hsycms2.0代码审计

Hsycms2.0代码审计

这种写法就会取出定义的模板变量,然后我们就发现插入的时候没有对用户输入进行过滤,而取出内容输出的时候又没有进行过滤,所以很明显存在一个存储型XSS漏洞

Hsycms2.0代码审计

SQL注入漏洞

一般流程:

1.在seay中开启查询日志

2.发现系统的输入点,尝试输入一些内容并执行

3.跟随输入信息,判断输入的内容是否被过滤,是否可利用

4.构造注入语句进行测试

Hsycms2.0代码审计

输入点总结:

**1)表单提交,主要是POST请求,也包括GET请求。
**

2)URL参数提交,主要为GET请求参数。

3)Cookie参数提交。

4)HITP请求头部的一些可修改的值,某些Referer.User Agent等。

5)一些边缘的输入点,可以jpg文件的一些文件信息等。

补充:Vscode审计插件"Intelephense",安装方法

https://www.cnblogs.com/-mrl/p/12214252.html”

首先查看下该cms对数据库的连接方法是什么,在libs->library->think->db->Query.php找到是以PDO的连接方式进行的,PDO详情参看“https://www.runoob.com/php/php-pdo.html”

Hsycms2.0代码审计

Hsycms2.0代码审计

这种方式可以很好的防范SQL注入,但是仍然也会有一些绕过方法。

测试

访问:http://192.168.12.106/product/123.html其中123可以任意修改,这个地方存在与数据库的交互情况,回忆之前的路由配置可以知道这里实际访问的时index模块下的Show控制器的index方法

Hsycms2.0代码审计

Hsycms2.0代码审计

Hsycms2.0代码审计

$id=input('id')意思是获取用户的输入,(路由那里的:id),同时注意获取到的值是字符串类型。

再看第二条语句

Hsycms2.0代码审计

Hsycms2.0代码审计

这个数据库查询语句就不像普通的查询一样,id的值是分离的,所以并不能构成注入条件。接着再向下搜索。

Hsycms2.0代码审计

Hsycms2.0代码审计

发现这里也有一个调用$id的地方,但是经过了prevNext的函数,那么按【Ctrl】+【鼠标左键】跟踪该函数

Hsycms2.0代码审计

Hsycms2.0代码审计

可以看到这个函数的where处的id就没有分离了,id和$id都在一个双引号下。所以这里可以有个思路构造Payload:

Hsycms2.0代码审计

Hsycms2.0代码审计

payload:123) and sleep(1) and (1=1

因为这个是没有回显的,所以尝试利用时间盲注测试,

http://192.168.12.106/product/123) and sleep(1) and (1=1页面成功延迟了。剩下的就是SQL注入的知识了,在payload那里构造即可。

Hsycms2.0代码审计

写配置文件GETSHELL

当删除app->common->install.lock文件后再访问首页就会首先跳转到安装页面,接下来看下安装界面的config代码

Hsycms2.0代码审计

Hsycms2.0代码审计

然后抓下包

Hsycms2.0代码审计

Hsycms2.0代码审计

可以知道这里传入的数据是数组形式,都会传给$db这个形参

Hsycms2.0代码审计

Hsycms2.0代码审计

接着下面将用户输入的值传递给session中的db_config,接着可以在下面的sql函数中看到调用了db_config

Hsycms2.0代码审计

Hsycms2.0代码审计

一路追踪又发现经过了write_config函数,追踪过去

Hsycms2.0代码审计

Hsycms2.0代码审计

从代码中知道$conf首先通过file_get_contents函数读取了安装的模板文件,然后通过用户的输入将用户输入的信息再写入到common/install.lock,将数据库配置信息写到database.php里。同时我们也发现用户的输入又没有经过任何过滤,先看下database.php代码

Hsycms2.0代码审计

Hsycms2.0代码审计

所以这就可以很轻松的getshell了,我们对host那么获取database等位置操作的时候闭合前面的单引号,注释后面,在中间写入一句话木马即可GETSHELL。

注:一般操控数据库名,因为这不会对数据库的连接产生太大影响

最终构造Payload:hsycms',@eval($_POST[1]),#

再次以上帝视角查看下database.php文件

Hsycms2.0代码审计

Hsycms2.0代码审计

一句话成功写入,成功GETSHELL。

Hsycms2.0代码审计

Hsycms2.0代码审计

而这样的漏洞也叫重装漏洞,如果还可以发现一个任意文件删除的漏洞,那可以将install.lock文件删掉进行重装GETSHELL。

Hsycms2.0代码审计

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与

Hsycms2.0代码审计

记得扫码

关注我们

本文分享自微信公众号 - 字节脉搏实验室(zijiemaiboshiyanshi)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
Stella981 Stella981
3年前
Android So动态加载 优雅实现与原理分析
背景:漫品Android客户端集成适配转换功能(基于目标识别(So库35M)和人脸识别库(5M)),导致apk体积50M左右,为优化客户端体验,决定实现So文件动态加载.!(https://oscimg.oschina.net/oscnet/00d1ff90e4b34869664fef59e3ec3fdd20b.png)点击上方“蓝字”关注我
Wesley13 Wesley13
3年前
00:Java简单了解
浅谈Java之概述Java是SUN(StanfordUniversityNetwork),斯坦福大学网络公司)1995年推出的一门高级编程语言。Java是一种面向Internet的编程语言。随着Java技术在web方面的不断成熟,已经成为Web应用程序的首选开发语言。Java是简单易学,完全面向对象,安全可靠,与平台无关的编程语言。
Stella981 Stella981
3年前
Django中Admin中的一些参数配置
设置在列表中显示的字段,id为django模型默认的主键list_display('id','name','sex','profession','email','qq','phone','status','create_time')设置在列表可编辑字段list_editable
Wesley13 Wesley13
3年前
Go日志库开发
文章源自【字节脉搏社区】字节脉搏实验室作者S0u1扫描下方二维码进入社区:!(https://oscimg.oschina.net/oscnet/0c1e1b7a5ba84d1c9367eca679525b72.png)由于最近考试太多,回头想了一下自己以前学过的go语言。
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这