[代码审计]Mini CMS V1.1-最新版

为什么最近老是在做代码审计呐？一是想要学习其他优秀开发者的架构和设计模式，二是挖掘一下开发者在开发过程中不严谨之处，作为前车之鉴。

有朋友就在问小东，哪儿找到这么多的CMS审计？这里说明一下，因为在代码审计方面还比较菜，只得大面积撒网，找小众的CMS来审计学习，所以就写了一个小爬虫，把CNVD上的CMS列表厂商都给抓下来了。

爬虫源码如下：

# title: 抓取CNVD漏洞CMS厂商列表
# description: 不想盲目地找漏洞，点对点爆破！boom！
# author: DYBOY
# blog: https://blog.dyboy.cn

import requests
import re

#refer:http://www.cnvd.org.cn/asset/selectedManuList?offset=60&max=10&manuName=cms

#全局变量
keyword = 'cms'  #用于获取厂商的关键词
main_url = 'http://www.cnvd.org.cn/asset/selectedManuList?max=2000&manuName='+keyword
header = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36',
          'Referer':'http://www.cnvd.org.cn'
          }
req = requests.Session()

#获取网页
html = req.get(main_url,headers = header,timeout=10)
html.encoding = 'utf-8'
guize = r"bringBack\('(.*?)\'\)"
try:
    factories = re.findall(guize,html.text)
except Exception as e:
    print(e)

f = open("factories.html", 'w+',encoding='utf-8')
for i in factories:
    print(i,file=f)
f.close()
print('OK!请检查当前目录下factories.html')

今天审计的是Mini CMS v1.1版本，也是最新版（五年没更新了）

官网地址：http://1234n.com/?projects/minicms/

项目地址：https://github.com/bg5sbk/MiniCMS/

MiniCMS是一个针对个人网站设计的微型内容管理系统。它的特点是：

1. 不需要数据库在支持，只需要一个可以运行PHP的Web环境
2. 只针对个人网站设计，没有复杂的成员管理和权限设置
3. 没有分类只有标签，免除发布文章时到底该怎么分类的纠结
4. 只有“文章”和“页面”两该个系统，没有“评论”、“插件”、“主题”，让你更专注于创造内容

下载 MiniCMS V1.10

作者一个人做出来的，很不错啦！

0x01 安装&简单测试

下载一个 install.php 文件上传至网站根目录，然后访问就可以按步骤安装了！

令人震惊的是，居然不用数据库！！！

数据存放在 /data/ 目录下格式为 .dat

在作者项目的 Github 上发现作者修复了一个重要的漏洞，虽然不知道是啥…

所以感觉此次审计，可能漏洞收获不是很大~

---

0x02 寻找漏洞

安装完成后，install.php文件自动重命名为install.txt文件，意味着没有重装漏洞！

网站的配置信息保存于 /mc-files/mc-conf.php 如果没有过滤，那么可以通过这个 Getshell

没有数据库，保存到一个.dat文件，看看文件名称是否是随机的呐？

简单发了一篇测试文章后，在 ./mc-files/posts/data/ 路径下生成了一个文件 n0pjip.dat， 博主简单看了一下，是随机生成的，并且在publish.php这个配置文件中有一一对应关系。

但是！！！

你看：

访问：http://www.test.com/mc-files/posts/data/n0pjip.dat, 你懂的！虽然没什么较大影响~

这样就构成了一个任意文章数据下载的算是漏洞吧？？？

查看index.php ,作者将后台与前端展示分离，数据采用配置文件 + 序列化.dat文件组成

这种模式，只适合数据不大的博客网站，一旦数据大了，再加上高并发，文件的读取内容效率不高甚至不稳定，序列化的网站配置这样的功能，采用这种方式是极好的。

---

0x03 权限问题

默认管理后台地址：http://www.test.com/mc-admin/index.php

登录后，发现，居然没有注销的按钮~，只好清理一下cookie，才退出的！

看一下登陆逻辑！

require_once dirname(dirname(__FILE__)).'/mc-files/mc-conf.php';

if (isset($_COOKIE['mc_token'])) {  //如果有cookie
  $token = $_COOKIE['mc_token'];

  if ($token == md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) {   //如果cookie的值是MD5 username+pass后的值，则跳转到管理界面
    Header("Location:{$mc_config['site_link']}/mc-admin/post.php");
  }
}

if (isset($_POST['login'])) {
  if ($_POST['user'] == $mc_config['user_name']
  && $_POST['pass'] == $mc_config['user_pass']) {
    setcookie('mc_token', md5($mc_config['user_name'].'_'.$mc_config['user_pass']));
    Header("Location:{$mc_config['site_link']}/mc-admin/post.php");
  }
}
?>

权限判断：

//head.php文件

ini_set("display_errors", "On"); error_reporting(E_ALL);
require_once '../mc-files/mc-conf.php';

if (isset($_COOKIE['mc_token'])) {
  $token = $_COOKIE['mc_token'];

  if ($token != md5($mc_config['user_name'].'_'.$mc_config['user_pass'])) {   //种方式我们还没法儿绕过~
    Header("Location:index.php");
    exit;
  }
} else {
  Header("Location:index.php");
  exit;
}
...//代码省略
?>

问题出现了，在mc-admin/post.php 文件中的第188行才引入，但是之前的函数都已经执行了，所以这里有判断越权存在

//delete function
function delete_post($id) {
  global $state, $index_file, $mc_posts;
  $post = $mc_posts[$id];
  $post['prev_state'] = $state;
  unset($mc_posts[$id]);
  file_put_contents($index_file, ".var_export($mc_posts, true)."\n?>");
  if ($state != 'delete') {
    $index_file2 = '../mc-files/posts/index/delete.php';
    require $index_file2;
    $mc_posts[$id] = $post;
    file_put_contents($index_file2, ".var_export($mc_posts, true)."\n?>");
  } else {
    unlink('../mc-files/posts/data/'.$id.'.dat');
  }
}

测试一下删除文章：

构造 Payload：

http://www.test.com/mc-admin/post.php?state=delete&delete=n0pjip

访问后得到效果：

OK! 垂直越权漏洞一枚！

---

0x04 XSS

在文章处发布一个XSS测试文章

首页访问弹窗，查看源码在content内容中没有转义导致的：

OK！存储性XSS一枚！

此外在配置文件的地方也存在存储性XSS，比如在评论框处插入

在访问文章页面的时候，会弹窗/dyboy/

---

0x05 扩大战果

这几个漏洞没啥重大漏洞的感觉！尝试一下 Getshell

发现在这个写配置的时候，第一行就请求了head.php权限控制文件，如果你成功登录了后台，那么这个地方就可以通过修改配置文件来Getshell

构造 Payload: 神秘人');assert($_GET[x]);/*

发现单引号会被转义~，找了过滤函数也没找到，自己也测试了一下var_export()函数，原来就是这个函数直接给单引号转义了，学习了，暂时没什么好的姿势~

卒！

0x06 总结

var_export() 函数真好用！

*原文地址:https://blog.dyboy.cn/websecurity/61.html