代码审计——Bluecms

关于审计方法可以定位敏感关键字 , 回溯参数传递过程,定位敏感功能点,通读功能点代码。黑盒测试 + 白盒测试

把bluecms的源码导入到Seay源代码审计系统中,开始自动审计。审计完成后根据正则配到的疑似存在漏洞的文件进行审计。

SQL注入

有个ad_js.php文件中getone方法中疑似存在漏洞我们进去分析一下
代码审计——Bluecms_第1张图片
ad_js.php文件代码


/**
 * [bluecms]版权所有 标准网络,保留所有权利
 * This is not a freeware, use is subject to license terms
 *
 * $Id:ad_js.php
 * $author:lucks
 */
define('IN_BLUE', true);
require_once dirname(__FILE__) . '/include/common.inc.php';

$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
if(empty($ad_id))
{
	echo 'Error!';
	exit();
}

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
if($ad['time_set'] == 0)
{
	$ad_content = $ad['content'];
}
else
{
	if($ad['end_time'] < time())
	{
		$ad_content = $ad['exp_content'];
	}
	else
	{
		$ad_content = $ad['content'];
	}
}
$ad_content = str_replace('"', '\"',$ad_content);
$ad_content = str_replace("\r", "\\r",$ad_content);
$ad_content = str_replace("\n", "\\n",$ad_content);
echo "\r\n";

?>

这里的SQL语句中where判断条件 变量ad_id是可控参数。首先判断了ad_id的值是否为空如果不为空 使用trim函数进行去空格处理,将ad_id拼接到SQL语句中并传递到getone()方法。
代码审计——Bluecms_第2张图片
getone方法中将传递过来的SQL语句 直接传入到query方法中执行SQL语句,并没有什么过滤。可以判断出是存在SQL注入的。
代码审计——Bluecms_第3张图片
访问ad_js.php
代码审计——Bluecms_第4张图片
放到sqlmap中跑一下,存在注入代码审计——Bluecms_第5张图片
在评论处也存在个SQL注入漏洞
在common.php文件中有个getip()的方法这个方法是获取IP地址,获取的IP地址在getip这个方法中也没有过滤。
代码审计——Bluecms_第6张图片
定位getip()来查看哪里调用了这个函数
有个inset插入语句调用了getip 进入文件查看
在这里插入图片描述

直接调用了getip这个方法拼接到SQL语句中没有进行处理,query方法执行SQL语句。
代码审计——Bluecms_第7张图片
修改源码看看程序所执行的SQL语句
在这里插入图片描述
提交评论
代码审计——Bluecms_第8张图片
获取到了 IP 地址
在这里插入图片描述
通过构造XFF头来进行SQL注入,使用SQLmap进行POST注入。
代码审计——Bluecms_第9张图片
代码审计——Bluecms_第10张图片

XSS

用户注册处存在xss漏洞
注册的时候使用burp抓个包
访问的是user.php 。
代码审计——Bluecms_第11张图片
进入user.php文件中查找存在do_reg的语句

elseif($act == 'do_reg'){
	$user_name 		=	!empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
	$pwd       		= 	!empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
	$pwd1 	   		= 	!empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
	$email     		= 	!empty($_POST['email']) ? trim($_POST['email']) : '';
	$safecode  		= 	!empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
	$from = !empty($from) ? base64_decode($from) : 'user.php';

	if(strlen($user_name) < 4 || strlen($user_name) > 16){
		showmsg('用户名字符长度不符');
	}
	if(strlen($pwd) < 6){
		showmsg('密码不能少于6个字符');
	}
	if($pwd != $pwd1){
		showmsg('两次输入密码不一致');
	}
	if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
		showmsg('验证码错误');
	}
	if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
		showmsg('该用户名已存在');
	}
	if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
		showmsg('该用户名已存在');
	}
	$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
	if(!$db->query($sql)){
		showmsg('很遗憾,注册中出错啦');
	}else{
		$_SESSION['user_id'] = $db->insert_id();
		$_SESSION['user_name'] = $user_name;
		update_user_info($_SESSION['user_name']);
		setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
		if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
		{
		$uid = uc_user_register($user_name, $pwd, $email);
		if($uid <= 0)
		{
			if($uid == -1)
			{
				showmsg('用户名不合法!');
			}
			elseif($uid == -2)
			{
				showmsg('包含不允许注册的词语!');
			}
			elseif($uid == -3)
			{
				showmsg('你指定的用户名 '.$user_name.' 已存在,请使用别的用户名!');
			}
			elseif($uid == -4){
				showmsg('您使用的Email格式不对!');
			}
			elseif($uid == -5)
			{
				showmsg('你使用的Email 不允许注册!');
			}
			else
			{
				showmsg('注册失败!');
			}
		}
		else
		{
			$ucsynlogin = uc_user_synlogin($uid);
			echo $ucsynlogin;
		}
		}
		$_SESSION['last_reg'] = $timestamp;
		showmsg('恭喜您注册成功,现在将转向...', $from);
	}
 }

用户名、密码、邮箱、验证码进行了非空验证和去空格操作。用户名进行了字符长度,处理。邮箱没有进行字符字符限制,直接拼接到了SQL语句中。
抓包添加payload。
代码审计——Bluecms_第12张图片
进入后台 用户管理查看
在这里插入图片描述
代码审计——Bluecms_第13张图片

你可能感兴趣的:(代码审计,php)