九张机之NiuShopcmsV2.1代码审计

写在前面：

必须吐槽一波这个cms，所有类方法都是public，全部可以直接调用，牛皮。而且漏洞巨多。

资源链接：链接：https://pan.baidu.com/s/1PMv-af26kIe_oCnDt6BOog
提取码：b3p9

简单代码审计

因为采用了TP5框架，所以还是要先看一下路由协议：

请求方法应该是这个亚子的：请求如下url

http://www.niushop.com/index.php?s=/wap/Pay/wchatUrlBack

则请求的是：application/wap/controller/pay.php中的wchatUrlBack方法：

全局多处任意文件删除：

审计发现系统多处文件删除位置没有对传入的文件名进行任何校验直接进行unlink操作，造成任意文件删除。
全局搜索unlink操作：

前台：

public方法，可以直接前台调用，任意文件删除。
批量任意文件删除：也是public方法，可以前台直接调用。

后台：

Order by参数注入：


前台任意文件上传：

里面有两处校验，分别看一下：
上传文件路径校验：


其中case对象是宏定义的路径：

之后就是合法性校验：

只校验了MIME或者大小，最后一个只校验了文件大小：

构造上传路径为：UPLOAD_FILE

根据代码自己构造文件上传页面：

任意文件上传：

Wchat.php下XXE漏洞：

全局搜索xml解析函数

在前台wchat.php的getMessage方法调用：

Pay.php下wchatUrlBack方法也存在：