米酷CMS 7.0.4代码审计

工具：seay源代码审计系统

源代码：网上很好找，这里就懒得贴上了，找不到的话可以给我留言

后面一段时间会深入学习安全开发，代码审计，内网渗透和免杀，快快成长。

审这个系统是因为在先知上看到一篇审它老版本的文章，索性拿来练一下生疏的手。

部署也不再赘述，直接使用phpstudy快速部署，放置源代码后访问路径下

/install/index.php

部署后的界面如下：

源代码放进seay进行白盒审计

挨个进行查看

第一个疑似注入点，可以看到包含了inc.php文件，先看一下过滤没有

套娃，在library.php里面发现了全局过滤

贴出源代码：

if (!get_magic_quotes_gpc()) {
    if (!empty($_GET)) {
        $_GET = addslashes_deep($_GET);
    }
    if (!empty($_POST)) {
        $_POST = addslashes_deep($_POST);
    }
    $_COOKIE = addslashes_deep($_COOKIE);
    $_REQUEST = addslashes_deep($_REQUEST);
}
function addslashes_deep($_var_0)
{
    if (empty($_var_0)) {
        return $_var_0;
    } else {
        return is_array($_var_0) ? array_map('addslashes_deep', $_var_0) : addslashes($_var_0);
    }
}

即没有开启gpc过滤敏感字符则使用addslashes_deep函数，addslashes_deep函数是一个魔改addslashes函数的函数，起到过滤敏感字符的作用。

可以看到此处的过滤没有过滤$_SERVER参数，后面有相关的地方可以留意一下。

SESSION在Cookie参数中，所以被过滤了，继续往后面看

来到很多文章都写过的ucenter位置，reg.php内容中有这样一段代码

<?php
    include('../system/inc.php');
    if(isset($_SESSION['user_name'])){
        header('location:index.php');
    };
    if(isset($_POST['submit'])){
        $username = stripslashes(trim($_POST['name']));
        // 检测用户名是否存在
        $query = mysqli_query($conn,"select u_id from mkcms_user where u_name='$username'");
        if(mysqli_fetch_array($query)){
            echo '<script>alert("用户名已存在，请换个其他的用户名");window.history.go(-1);</script>';
            exit;
         }
        $result = mysqli_query($conn,'select * from mkcms_user where u_email = "'.$_POST['email'].'"');
        if(mysqli_fetch_array($result)){
        echo '<script>alert("邮箱已存在，请换个其他的邮箱");window.history.go(-1);</script>';
        exit;
    }

这里获取到了我们POST输入的name

$username = stripslashes(trim($_POST['name']));

而因为include了inc.php文件，$_POST进来的输入被全局过滤了，如果我们使用了单引号就会被加上反斜杠，但是！

这里又在外面使用了

stripslashes

函数，关于该函数：

同时我们可以通过页面返回的值来判断查询结果是否正确，即该位置存在布尔注入

使用方法：

查询一个已注册的用户名，然后进行布尔注入

本地测试（POST payload 注意test用户已注册）

永真式：

name=test' and '1'='1&email=test%40qq.com&password=test&submit=

永假式：

name=test' and '1'='2&email=test%40qq.com&password=test&submit=

burp抓包放进sqlmap里面跑

可以直接使用工具跑出来

接着全局搜索使用了stripslashes函数的位置

active.php代码如下

<?php
    include('../system/inc.php');
    $verify = stripslashes(trim($_GET['verify']));
    $nowtime = time();
    $query = mysqli_query($conn,"select u_id from mkcms_user where u_question='$verify'");
    $row = mysqli_fetch_array($query);
    if($row){
        echo $row['u_id'];
        $sql = 'update mkcms_user set u_status=1 where u_id="'.$row['u_id'].'"';
        if (mysqli_query($conn,$sql)) {
            alert_href('激活成功!','login.php');
        }
    }else{
        $msg = 'error.';
    }
    echo $msg;
?>

我们可以通过是否echo $row['u_id']来进行注入

去数据库里面查一下u_question是多少：

其逻辑在reg.php中，简单贴一下代码：

$token = md5($username.$password.$regtime); //创建用于激活识别码
$data['u_question'] =$token;

实际上真实环境中我们应该是拿不到u_question的，但是这里我们可以使用时间盲注来获取数据库内容

repass.php也是类似的点存在注入

$username = stripslashes(trim($_POST['name']));
$email = trim($_POST['email']);
// 检测用户名是否存在
$query = mysqli_query($conn,"select u_id from mkcms_user where u_name='$username' and u_email='$email'");

而除了因为stripslashes导致的注入外，代码里面还有因为直接拼接SQL语句而导致的注入，简单举两处：

admin_edit.php里

    $sql = 'update mkcms_manager set ' . arrtoupdate($_data) . ' where m_id = ' . $_GET['id'] . '';
    if (mysqli_query($conn,$sql)) {
        alert_href('管理员修改成功!', 'cms_admin.php');
    } else {
        alert_back('修改失败!');
    }

这里的 $id 直接进行拼接，从而造成了注入，因为不需要使用引号进行闭合，所以之前的全局过滤也形同虚设了。

ad.php 里

if (isset($_GET['del'])) {
    $sql = 'delete from mkcms_ad where id = ' . $_GET['del'] . '';
    if (mysqli_query($conn,$sql)) {
        alert_href('删除成功!', 'cms_ad.php');
    } else {
        alert_back('删除失败！');
    }
}

这里也是通过拼接组成的SQL语句，存在SQL注入漏洞

逻辑漏洞以前有老哥提到过验证码复用+暴力遍历从而任意用户密码重置，下次还是审一个没人审的小众代码吧太菜了

参考链接：

• https://xz.aliyun.com/t/8486

• https://xz.aliyun.com/t/7580