【粉丝福利】PHP代码审计之wuzhicms（二）-阿里云开发者社区

【粉丝福利】PHP代码审计之wuzhicms（二）

2023-02-14 92

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： 【粉丝福利】PHP代码审计之wuzhicms

3.csrf

在测试功能点：系统设置 => 权限管理 => 添加管理员处我们点击提交

1dd54a2b55a6d95d9f0d35be54167e6f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

89975120fe0c8fd119c543bc403c5a3b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过提示我们了解到必须存在一个前台账户,然后才可以将前台账户绑定为系统管理员，而前台账户是可以注册的。

7bab493a0113e9ca53bdf03a7f226f83_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

5f826d29466b9230c16d3eb16db8e847_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

路径:

/index.php?m=core&f=power&v=add&&_su=wuzhicms

e109cce38470d40de40ed219963cac81_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过路由找到对应代码

从最上面的注解就可以看出 add() 函数是用于添加管理员的，35-37行代码判断是否点击提交操作，然

后判断用户名是否为空，不为空则将传入的 username 值赋值给 $username

abe690b6fb2fb052ace65c2130679aa1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

在代码38行处根据用户名

从数据库中取出前台账户，如果该前台用户不存在则会提示如下内容，也就是我们上面的提示，在40行代码判断该用户是否已经是管理员，而44-51行代码是判断添加管理员时是否设置密码.

1165995fd7717ba22fe6cb1f84421a79_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2f719a11b7aad03909684750184165b7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

4.目录遍历

通过全局搜索 glob 函数发现一处功能点处可能存在目录遍历，这里的 glob() 函数中 $dir 参数可控

17503d9f4cf15885ff0166b37f8cada0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

上面代码29行通过 template() 函数渲染 listing.tpl.php 文件，将我们目录下的内容遍历出来并显示在前端页面。

a6449bd628810e970b7de649b032a6c5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

添加我们所需要的 dir 参数,由于上面的代码存在过滤且这里仅仅是将传入的内容替换为空而且只替

换一次，通过 ...../// 的形式来绕过该处的过滤实现目录遍历

cbf55d876351b1ea5a4cc4be00a69a6d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

bcafbce893f9509846539ae44c0f6eac_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

5.任意文件删除

全局搜索危险函数 unlink() ，发现该处存在一个 my_unlink() 函数调用了 unlink() 函数并

且通过注解也可以大致了解到该函数是用来删除附件的,这里的 $path 参数传递需要删除的文件。

接下来我们的思路是两点：一是看哪些功能点调用了 my_unlink() ，二是看调用处 $path 是否可以控制。

be35a6d4d14b8def3a9227e7eee0ca6f_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过上面的思路，我们 Ctrl+鼠标左键点击该函数，发现有三处功能点调用了 my_unlink() 函数。

这里我们发现其中一处 del() 函数调用了该功能点进行文件删除.

90863c2656b45fd63d676596e7cf6221_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

上面的176、177行代码需要我们传入两个参数id、url,这里需要看看177行代码处的remove_xs()函数中进行了哪些过滤。

23fe846f9c40719909a7334b539470e3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

通过上面一系列的过滤最终返回我们过滤后的内容。

b5545fea4960b46d456e4cafbf981a16_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

ca93183876ccb8d64604afed78b5322e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

我们再接着看代码，我们如果传入id参数，这里的path参数是从数据库中拿到的，我们不能控制。

4bc8abe2faaabdb582165880e41d3bb2_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

如果不传入id参数则会走下面的else,在207行代码处判断我们传入的 path 是否在数据库中，如果不在就

会进入208行代码，对我们传入的 $path 进行删除

04428ccbb5f481ba464be1d1cc488cb6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

漏洞复现：

2456eba2b67e843132885cc91ee15c30_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

我们看到数据包中的路由其实与我们分析的代码是一样的.

GET /www/index.php?v=del&url=qr_image/mobile.png&m=attachment&f=index&_su=wuzhicms&_menuid=29&_submenuid=52 HTTP/1.1
Host: www.wuzhicms.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Referer: http://www.wuzhicms.com/www/index.php?dir=.%2Fqr_image&m=attachment&f=index&v=dir&_su=wuzhicms&_menuid=29&_submenuid=52
Cookie: PHPSESSID=k652a136tnltn7n1obr88jo5h6; fbp_uid=QO%2BEiNPcY77ztIj3VwL07Q%3D%3D; fbp_username=qPFUCdQQfkRNinLQXE3qZA%3D%3D; fbp_wz_name=CfApQiRkuXByfw7AqHDG5A%3D%3D; fbp_siteid=MCakL%2FitF2Mz8zst4dyFvQ%3D%3D; fbp_userkeys=u0CzDoL6HLYQwPI%2Ffgo2bg%3D%3D
Upgrade-Insecure-Requests: 1