YCCMS 3.3 CSRF漏洞--代码执行

一、启动环境

1.双击运行桌面phpstudy.exe软件

2.点击启动按钮，启动服务器环境

二、代码审计

1．双击启动桌面Seay源代码审计系统软件

2.点击新建项目按钮，弹出对画框中选择（C:\phpStudy\WWW\YCCMS），点击确定

漏洞分析

1．点击展开左侧admin目录，在弹出的下拉列表中双击index.php页面，右侧页面可以看到相关代码。

<?php

require str_replace('\\','/',substr(dirname(__FILE__),0,-6)).'/config/run.inc.php';

?>

其中页面就一行代码，代码主要作用包含 /config/run.inc.php文件 2．在config目录打开run.inc.php文件

<?php

//开启session

session_start();

//超时时间

@set_time_limit(0);

//设置编码

header('Content-Type:text/html;charset=utf-8');

//错误级别，报告警告之外的所有错误

error_reporting(E_ALL ^ E_NOTICE);

//设置时区

date_default_timezone_set('PRC');

//网站绝对根路径

define('ROOT_PATH',str_replace('\\','/',substr(dirname(__FILE__),0,-7)));

//引入配置文件

require ROOT_PATH.'/config/config.inc.php';

//引入Smarty

require ROOT_PATH.'/public/smarty/Smarty.class.php';

//自动加载类

function __autoload($_className){

	if(substr($_className,-6)=='Action'){

		require ROOT_PATH.'/controller/'.$_className.'.class.php';

	}elseif(substr($_className, -5) == 'Model'){

		require ROOT_PATH.'/model/'.$_className.'.class.php';

	}else{

		require ROOT_PATH.'/public/class/'.$_className.'.class.php';

	}

}

//单入口

Factory::setAction()->run();

?>

本页面代码前面主要进行初始化一些常量和配置，其中autoload函数作用是当你进行初始化类在本页面不存在时候就会自动调用autoload（）函数，同时会把名字当做参数传输过去。 3．最后进行调用setAction（）方法，按照__autoload函数代码功能，页面会包含/public/class/Factory.class.php文件

2.Factory.class.php文件主要是Factory类的定义文件

<?php

class Factory{

	static private $_obj=null;

	static public function setAction(){

		$_a=self::getA();

		if (in_array($_a, array('admin', 'nav', 'article','backup','html','link','pic','search','system','xml','online'))) {

			if (!isset($_SESSION['admin'])) {

				header('Location:'.'?a=login');

			}

		}

		if (!file_exists(ROOT_PATH.'/controller/'.$_a.'Action.class.php')) $_a = 'Index';

		eval('self::$_obj = new '.ucfirst($_a).'Action();');

		return self::$_obj;

	}

	static public function setModel() {

		$_a = self::getA();

		if (file_exists(ROOT_PATH.'/model/'.$_a.'Model.class.php')) eval('self::$_obj = new '.ucfirst($_a).'Model();');

		return self::$_obj;

	}

	static public function getA(){

		if(isset($_GET['a']) && !empty($_GET['a'])){

			return $_GET['a'];

		}

		return 'login';

	}

}

?>

其中setAction()方法首先调用getA()方法获取GET传输的过来得a参数并赋值给a，紧接着利用in_array()函数进行检查，其中如果$_a变量包含数组中的变量，页面将会跳转。然后file_exists()函数进行检查页面文件是否存在，如果不存在则将$_a赋值成Index，最后调用eval（）执行PHP代码。如果能够让eval成功执行代码，必须成功逃逸file_exists函数。

3. file_exists函数主要作用是检查文件是否存在，但是这个函数在进行检查会有一个bug，如/controller/admin;/…/，函数允许路径中有一些特殊字符，并且遇到/…/会返回到上级目录，可以利用这个策略逃逸出file_exists（）函数检查，最后一个利用点eval可以执行多条语句，如：eval(echo 1;echo 2;);可以成功执行两条语句。

漏洞利用

首先访问IP/admin/index.php文件，然后输入文件后面输入

payload：Factory();phpinfo();//../

其中Factory();是为了闭合前面new字符，不然程序会报错，后面紧接着执行phpinfo();函数

实验总结

本次实验主要掌握代码执行挖掘和利用方法。