熊海CMS 靶场

熊海CMS 靶场

0x01 前言

初步了解cms,Content Management System 内容管理系统。它是一种用于创建、编辑、管理和发布内容的软件程序或工具。内容管理系统通常用于网站、博客、企业内部系统等各种应用中,可以帮助用户管理和发布各种类型的内容,如文章、图片、视频、文件等。

进行PHP代码审计,代码审计是一种白盒测试,以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。 软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。

熊海CMS 靶场_第1张图片

0x02 网站的基本结构

在熊海CMS 站点中,由以下几个基础目录组成:

熊海CMS 靶场_第2张图片

css : 存放样式文件

files:存放着站点的页面html文件

houtai: 存放着站点短肽管理页面html文件

images:存放着站点的图片文件

inc:存放用于重复使用的代码、函数、类或者其他需要在多个页面中引用的文件。

install: 存放网站的安装配置也买你html文件

seacmseditor:存放着扩展插件等文件

template: 存放着定义网页结构和外观的模板html文件

upload: 为上传文件夹。

index.php: 一般为网站的访问点,

0x03 初步审计

审计流程

  1. 准备阶段:确定审计的范围和目标,收集相关文档、代码和其他必要的信息。

  2. 静态代码分析:通过工具或人工的方式对源代码进行审查,识别潜在的安全漏洞、逻辑问题或者代码质量问题。

  3. 动态代码分析:利用黑盒测试方法,对应用程序进行实际测试,寻找潜在的漏洞、安全隐患和逻辑问题。

  4. 报告撰写:总结审计结果,编写详细的审计报告,包括发现的问题、风险评估、建议的修复措施等内容。

  5. 问题跟踪和验证:与开发团队合作,跟踪和验证问题的修复过程,确保问题被有效解决。

静态审计

由于漏洞一般都发生在代码功能的逻辑错误,所以审计的重点在files、houtai两个文件夹。

问题 1 文件包含
/index.php

熊海CMS 靶场_第3张图片

index.php 网页入口文件存在文件包含漏洞。

  1. 使用GET方法传入的参数,输入使用了addslashes()函数验证,但是它只能过滤\等特殊符号假站点存在其他漏洞,攻击者可以利用文件包含漏洞非常容易的利用。

    熊海CMS 靶场_第4张图片

利用条件:

php.ini 中的allow_url_fopen = On(远端资源)、allow_url_include= On(本地资源) 两个参数任意一个是开启状态。一般情况建议关闭allow_url_fopen.

攻击通过任意方式,将恶意代码侵入网站中,若开启了allow_url_fopen ,其他恶意的URL也能导致被入侵。

修复方法:

增加收入验证、使用安全的文件包含、关闭不必要的配置。

/houtai/index.php

熊海CMS 靶场_第5张图片

熊海CMS 靶场_第6张图片

webshell只能在files文件夹内,才能利用

/template/header.php

熊海CMS 靶场_第7张图片

原理和上面一样 没有对输入参数进行验证。

熊海CMS 靶场_第8张图片

问题2 SQL 注入
addslashes()函数问题

image-20231109211939408

使用了GET方法接收参数r,并用addslashes()对参数进行特殊符号过滤,可以减少SQL注入的可能,

addslashes()函数也不一定安全,在一些特殊情况下也是可以绕过。

  1. 数据库字符集是宽字节:利用宽字节的特性,使用一个超过128的16进制,放在单引号前。
  2. SQL语句是数值类型:因为数值类型无需引号闭合。
  3. 使用特殊编码:前提条件后端需要对该参数进行相对于的解码操作。
  4. 双字节编码:用多个字节表示一个字符,例如unicode。
  5. magic_quotes_gpc: 在php5.4 之前的版本 可以开启magic_quotes_gpc参数来绕过

但是在resul变量中添加的 mysql_error(),如果sql语法错误,则会在主页上显示sql错误,如果使攻击者绕过了addslashes()就很容易进行sql注入。

熊海CMS 靶场_第9张图片

/files/software.php

software.php文件中使用GET方法获取的cid参数 未使用过滤函数,但是注释了mysql_error()函数,所以这里就造成了SQL注入

使用POC进行爆破:

熊海CMS 靶场_第10张图片

永真语句:

?cid=1' and 1=1 --+

页面正常显示。

熊海CMS 靶场_第11张图片

永假语句:

?cid=1' and 1=2--+

页面图片不在显示

由此判断改页面存在SQL盲注

熊海CMS 靶场_第12张图片

使用poc

?cid=1' and ascii(substr(database(),1,1))=120--+

由此poc可以判断该数据库的名字第一个字符为x.后句也可以根据这个poc变形爆破出该数据库的更多信息。

/files/submit.php

熊海CMS 靶场_第13张图片

留言板对昵称、邮箱、网站、内容都进行的html和特殊字符过滤,但是还有隐藏参数并未进行过滤,

熊海CMS 靶场_第14张图片

image-20231110135313310

熊海CMS 靶场_第15张图片

可以从请求包中发现,未过滤的cid参数进行了SQL插入的操作,也并未对其做出过滤验证措施,而且用了mysql_error 函数将SQL的错误回显到页面之上。所以此处存在SQL报错注入。

使用POC,进行报错注入测试

'%20or%20updatexml(1,concat(0x7e,(user()),0x7e),0)%20or'

熊海CMS 靶场_第16张图片

直接爆出数据库用户名

/houtai/files/editwz.php

update SQL报错注入

熊海CMS 靶场_第17张图片

未对POST参数进行过滤验证

image-20231110185526546

熊海CMS 靶场_第18张图片

/houtai/files/editsoft insert注入

123' or updatexml(1,concat(0x7e,(user()),0x7e),0) or '

熊海CMS 靶场_第19张图片

熊海CMS 靶场_第20张图片

原理同上,未对POST传入的参数做限制

/houtai/wzlist.php

存在deleteSQL注入

熊海CMS 靶场_第21张图片

点击删除使用bp抓包

熊海CMS 靶场_第22张图片

熊海CMS 靶场_第23张图片

delete参数未使用过滤验证函数。使得该参数变为用户可控,用户可以通过改参数删除任意文章。

`/houtai/files/softlist.php

存在deleteSQL注入问题

熊海CMS 靶场_第24张图片

image-20231111110756665

熊海CMS 靶场_第25张图片

与wzlist.php 页面一样。未对delete参数进行过滤验证,导致该参数用户可控。

/houtai/editcolumn

存在selectSQL注入

熊海CMS 靶场_第26张图片

使用order by 语句发现 查询了10个字段。应该使用了*通配符进行的条件查询。

熊海CMS 靶场_第27张图片

使用POC

union select 1,2,3,4,5,6,7,8,9,10--+

后并未发现明显的回显位,所以采取报错注入进行爆破。

熊海CMS 靶场_第28张图片

成功获取数据库信息

问题3 反射型XSS
/files/contact.php

熊海CMS 靶场_第29张图片

熊海CMS 靶场_第30张图片

这里使用GET方法接收了一个page的参数,虽然做了addslashes()的特殊符号过滤操作,但是对于XSS漏洞来说还是不够的,

在代码的139行 通过a标签在页面上为做任何验证直接在页面上输出了该变量

熊海CMS 靶场_第31张图片

输入POC测试:

<img src=1 onerror=alert(123)>

熊海CMS 靶场_第32张图片

在这里我使用了一个 图片标签 img ,源地址随便设一个值,在找不到源地址,使用js报错事件来触发我想执行的内容,由于该POC内没有addslashes()过滤的特殊字符,所以addslashes()形同虚设。

例如我想得到登录账户的cookie

熊海CMS 靶场_第33张图片

/files/download.php

存在反射型漏洞

熊海CMS 靶场_第34张图片

熊海CMS 靶场_第35张图片

与之前contact.php 页面一样

/files/list.php

list.php 也存在反射性XSS

熊海CMS 靶场_第36张图片

熊海CMS 靶场_第37张图片

/houtai/files/wzlist

反射性xss,原理和之前一样。不在累述

熊海CMS 靶场_第38张图片

熊海CMS 靶场_第39张图片

/houtai/files/softlist

反射性xss,原理和之前一样。不在累述

熊海CMS 靶场_第40张图片

熊海CMS 靶场_第41张图片

问题4 存储型XSS
/houtai/wzlist.php XSS存储漏洞

熊海CMS 靶场_第42张图片

后台发布文章页面 标题、作者、关键字、描述都存在存储型XSS

熊海CMS 靶场_第43张图片

由于关键字、描述在主页中没有回显位,所以无法利用

熊海CMS 靶场_第44张图片

熊海CMS 靶场_第45张图片

未对GET输入参数进行过滤验证。

/houtai/files/editsoft.php

熊海CMS 靶场_第46张图片

原理与之前一样,未对POST传入的参数验证。

熊海CMS 靶场_第47张图片

问题5 任意文件下载
/files/houtai/newsoft.php

熊海CMS 靶场_第48张图片

如果获取到后台权限可以通过editsoft的发布下载功能中设置该服务器的任意文件路径,可以通过前端页面进行下载。导致服务器的敏感文件泄露

熊海CMS 靶场_第49张图片

熊海CMS 靶场_第50张图片

熊海CMS 靶场_第51张图片

熊海CMS 靶场_第52张图片

你可能感兴趣的:(网络安全专栏,CMS靶场,安全,网络)