某scms代码审计-PHP

前言:

事情是这样的,由于我 CNVD 还差一积分就可以兑换京东E卡了,所以找了这个 CMS 看看能不能挖到漏洞,运气还是不错的挖到了两个,分别是 SSRF 与文件覆盖 GETSHELL,这才有这篇文章。该 CMS 版本是 4.2。以下漏洞均被 CNVD 收录。

环境说明:

PHP版本用 7.0.9 就好了。

20220223224045-9559e132-94b6-1

SSRF:

根据功能点定向审计,在后台的工具栏有一个采集功能,根据经验这种功能一般存在 SSRF。


某scms代码审计-PHP

20220223220341-67e0d1e8-94b1-1

使用 python3 在本地开启简易的 http 服务。

20220223213647-a5a7d110-94ad-1

点击下一步,果不其然存在 SSRF。

20220223220406-76d68634-94b1-1

进行漏洞分析。
根据 burpsuite 抓到的请求包很容易定位到代码位置。

20220223220509-9c8a94ba-94b1-1

在文件 upload/plugins/sys/admin/Collect.php#Collect->add,POST 的参数cjurl 未做安全处理被传入到 $this->caiji->str 方法。

20220223220753-fdd0b92a-94b1-1

那么我们跟进到 $this->caiji->str 方法,但是 phpstorm 找不到定义该方法的位置。

20220223220840-1a558c24-94b2-1

解决办法,我们可以连续按两下 Shift 键直接寻找。

20220223220915-2f1d8846-94b2-1

跟进到 str 方法后,发现 url 参数被传入 htmlall 方法,继续跟进该方法。

20220223221002-4ab5ea4e-94b2-1

可以看到 htmlall 方法使用了 curl 请求 url。

20220223221046-65765378-94b2-1

基本上有调用 $this->caiji->str 方法的地方都存在 SSRF 漏洞。

20220223221216-9b0e1f3e-94b2-1


文件覆盖导致 GETSHELL:

通过敏感函数回溯参数过程的方式找到该漏洞。
在 upload/cscms/app/helpers/common_helper.php#write_file 使用了文件写入的敏感函数,跟 SSRF 的 htmlall 是同一个文件。


某scms代码审计-PHP

使用 Ctrl+Shift+F 查找哪些位置调用了 write_file,在 upload/plugins/sys/admin/Plugins.php#Plugins->_route_file 调用了 write_file函数,并且 $note[$key][‘name’] 和 $note[$key][‘url’] 的值是以字符串方式拼接到文件内容的,该内容是注释,我们可以使用换行绕过。

20220223221448-f544a5a4-94b2-1

查找哪些位置调用了 _route_file,跟踪 $note 的值是否可控,调用该函数的位置有很多,最终找到一处可利用。在 upload/plugins/sys/admin/Plugins.php#Plugins->setting_save 调用了 _route_file,由于该函数内容有点多,所以我将它拆分成两个界面,一些不重要的内容进行闭合。画红线的位置是调用到 _route_file 必须设置的,可以看到在标蓝色3的位置获取到了 $note 的值,分析到这里可以开始复现了。

20220223221924-99c9f9bc-94b3-1

使用 burpsuite 抓取请求包。

20220223222043-c8d92fde-94b3-1

修改请求包内容写入构造好的代码,可以看到我使用了 %0a 换行去绕过注释。

20220223222215-ffc7d6da-94b3-1

在 upload/cscms/config/dance/rewrite.php 可以看到成功写入。

20220223222309-2031d24a-94b4-1

寻找引用 rewrite.php 的位置,懒得去看代码了,通过点击各个页面,经过不懈努力终于在个人中心的音乐页面找到,所以你需要注册一个会员用户。

20220223222422-4b9e5232-94b4-1

重放 burpsuite 抓到的请求包,成功输出内容。

20220223222512-6998baf2-94b4-1

到这里其实事情还没有结束,当我尝试写入恶意内容发现被转义了。

20220223222657-a84359d8-94b4-1
20220223222722-b6f5d8c0-94b4-1

试了 eval、shell_exec 等均被转义,但是 assert 没有被转义,考虑到 assert 在PHP7版本之后的问题,我还是需要找一个更好的办法。懒得去看转义的代码了,我根据PHP的动态特性使用以下方法成功 RCE。

20220223222801-ce2ad950-94b4-1
20220223222830-df8fcc0a-94b4-1

总结:

此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。

本文转载自https://xz.aliyun.com/t/10929,只做本站测试使用,本文观点不代表安强科技社区立场。

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年3月15日 下午2:56
下一篇 2022年3月15日 下午4:00

相关推荐

发表回复

您的电子邮箱地址不会被公开。