为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。
有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS来审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。
爬虫源码如下:
# title: 抓取CNVD漏洞CMS厂商列表 # description: 不想盲目地找漏洞,点对点爆破!boom! # author: DYBOY # blog: https://blog.dyboy.cn import requests import re #refer:http://www.cnvd.org.cn/asset/selectedManuList?offset=60&max=10&manuName=cms #全局变量 keyword = 'cms' #用于获取厂商的关键词 main_url = 'http://www.cnvd.org.cn/asset/selectedManuList?max=2000&manuName='+keyword header = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36', 'Referer':'http://www.cnvd.org.cn' } req = requests.Session() #获取网页 html = req.get(main_url,headers = header,timeout=10) html.encoding = 'utf-8' guize = r"bringBack\('(.*?)\'\)" try: factories = re.findall(guize,html.text) except Exception as e: print(e) f = open("factories.html", 'w+',encoding='utf-8') for i in factories: print(i,file=f) f.close() print('OK!请检查当前目录下factories.html')
今天审计的是Mini CMS v1.1
版本,也是最新版(五年没更新了)
官网地址:http://1234n.com/?projects/minicms/
项目地址:https://github.com/bg5sbk/MiniCMS/
MiniCMS是一个针对个人网站设计的微型内容管理系统。它的特点是:
- 不需要数据库在支持,只需要一个可以运行PHP的Web环境
- 只针对个人网站设计,没有复杂的成员管理和权限设置
- 没有分类只有标签,免除发布文章时到底该怎么分类的纠结
- 只有“文章”和“页面”两该个系统,没有“评论”、“插件”、“主题”,让你更专注于创造内容
作者一个人做出来的,很不错啦!
0x01 安装&简单测试
下载一个 install.php
文件上传至网站根目录,然后访问就可以按步骤安装了!
令人震惊的是,居然不用数据库!!!
数据存放在 /data/
目录下格式为 .dat
在作者项目的 Github
上发现作者修复了一个重要的漏洞,虽然不知道是啥…
所以感觉此次审计,可能漏洞收获不是很大~
0x02 寻找漏洞
安装完成后,install.php文件自动重命名为install.txt文件,意味着没有重装漏洞!
网站的配置信息保存于 /mc-files/mc-conf.php
如果没有过滤,那么可以通过这个 Getshell
没有数据库,保存到一个.dat
文件,看看文件名称是否是随机的呐?
简单发了一篇测试文章后,在 ./mc-files/posts/data/
路径下生成了一个文件 n0pjip.dat
, 博主简单看了一下,是随机生成的,并且在publish.php
这个配置文件中有一一对应关系。
但是!!!
你看:
访问:http://www.test.com/mc-files/posts/data/n0pjip.dat
, 你懂的!虽然没什么较大影响~
这样就构成了一个任意文章数据下载的算是漏洞吧???
查看index.php
,作者将后台与前端展示分离,数据采用配置文件 + 序列化.dat
文件组成
这种模式,只适合数据不大的博客网站,一旦数据大了,再加上高并发,文件的读取内容效率不高甚至不稳定,序列化的网站配置这样的功能,采用这种方式是极好的。
0x03 权限问题
默认管理后台地址:http://www.test.com/mc-admin/index.php
登录后,发现,居然没有注销的按钮~,只好清理一下cookie,才退出的!
看一下登陆逻辑!
<?php require_once dirname(dirname(__FILE__)).'/mc-files/mc-conf.php'; if (isset($_COOKIE['mc_token'])) { //如果有cookie $token = $_COOKIE['mc_token']; if ($token == md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) { //如果cookie的值是MD5 username+pass后的值,则跳转到管理界面 Header("Location:{$mc_config['site_link']}/mc-admin/post.php"); } } if (isset($_POST['login'])) { if ($_POST['user'] == $mc_config['user_name'] && $_POST['pass'] == $mc_config['user_pass']) { setcookie('mc_token', md5($mc_config['user_name'].'_'.$mc_config['user_pass'])); Header("Location:{$mc_config['site_link']}/mc-admin/post.php"); } } ?>
权限判断:
//head.php文件 <?php ini_set("display_errors", "On"); error_reporting(E_ALL); require_once '../mc-files/mc-conf.php'; if (isset($_COOKIE['mc_token'])) { $token = $_COOKIE['mc_token']; if ($token != md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) { //种方式我们还没法儿绕过~ Header("Location:index.php"); exit; } } else { Header("Location:index.php"); exit; } ...//代码省略 ?>
问题出现了,在mc-admin/post.php
文件中的第188行才引入,但是之前的函数都已经执行了,所以这里有判断越权存在
//delete function function delete_post($id) { global $state, $index_file, $mc_posts; $post = $mc_posts[$id]; $post['prev_state'] = $state; unset($mc_posts[$id]); file_put_contents($index_file, "<?php\n\$mc_posts=".var_export($mc_posts, true)."\n?>"); if ($state != 'delete') { $index_file2 = '../mc-files/posts/index/delete.php'; require $index_file2; $mc_posts[$id] = $post; file_put_contents($index_file2, "<?php\n\$mc_posts=".var_export($mc_posts, true)."\n?>"); } else { unlink('../mc-files/posts/data/'.$id.'.dat'); } }
测试一下删除文章:
构造 Payload
:
http://www.test.com/mc-admin/post.php?state=delete&delete=n0pjip
访问后得到效果:
OK! 垂直越权漏洞一枚!
0x04 XSS
在文章处发布一个XSS
测试文章
首页访问弹窗,查看源码在content
内容中没有转义导致的:
OK!存储性XSS一枚!
此外在配置文件的地方也存在存储性XSS,比如在评论框处插入<script>alert(/dyboy/)</script>
在访问文章页面的时候,会弹窗/dyboy/
0x05 扩大战果
这几个漏洞没啥重大漏洞的感觉!尝试一下 Getshell
发现在这个写配置的时候,第一行就请求了head.php
权限控制文件,如果你成功登录了后台,那么这个地方就可以通过修改配置文件来Getshell
构造 Payload: 神秘人');assert($_GET[x]);/*
发现单引号会被转义~,找了过滤函数也没找到,自己也测试了一下var_export()
函数,原来就是这个函数直接给单引号转义了,学习了,暂时没什么好的姿势~
卒!
0x06 总结
var_export()
函数真好用!
版权声明:《 [代码审计]Mini CMS V1.1 》为DYBOY原创文章,转载请注明出处!
最后编辑:2018-7-28 20:07:55
2018-08-19 08:24
2018-07-30 20:51