>
快捷搜索:

小众CMSvaeThinkv101代码执行漏洞挖掘分

- 编辑:澳门新莆京娱乐 -

小众CMSvaeThinkv101代码执行漏洞挖掘分

  本文是对一个小众CMS(vaeThink v1.0.1)进行分析、代码执行漏洞挖掘和审计过程的记录,该CMS基于ThinkPHP5开发。作为一名代码审计的入门菜鸟,也希望能够将实践和学习的过程记录和分享,以期能够与大家共同交流进步。

  得到CMS的项目源码后,不着急进行源码的白盒审计,可以先将CMS部署和运行起来,认识和了解其功能点,同时进行黑盒测试。

  该CMS的部署比较简单,只要有LAMP的环境,并且将网站根目录指向public目录即可,接着根据提示安装。安装完成之后,访问该CMS直接出现登录页面:

  需要注意的是,一般在登录功能处可能存在SQL注入漏洞,但是本文着重挖掘代码执行漏洞的挖掘,因此其他类型会略过,我们继续通过安装时设置的管理员账号登入后台,进一步了解后台的其他功能点:

  在系统/配置菜单中,存在与网站信息、邮件和短信配置相关的功能页面。在不进行源码审计的情况下,首先查看数据库中的数据表和字段,发现没有存储和这些配置相关的信息,可以猜测这些信息可能直接经过处理后存储在某个配置文件中,经过对项目目录的大致了解,应该是在data/conf下。

  我们输入特定的测试数据进行提交,并且通过grep过滤包含特定数据的文件:

  我们继续构造可控内容];phpinfo;//,可以通过闭合前面的数组逃逸出来:

  但是测试发现,可控内容前的return会直接返回,注入的代码并没有被执行。另外,注意一下配置文件的路径可以发现,data目录不是一个可以直接访问到的网站路径,除非能够配合其他的路径穿越或者文件包含漏洞才有更进一步的可能,这里的日志文件也是同理。

  注意到data目录下还存在cache和temp目录,其中存储了一些缓存文件:

  除了和上面配置、日志文件存在同样的限制,这些缓存文件还通过exit进行了安全处理:

  几条路暂时被堵死了不要慌,继续观察CMS的其他功能点。在管理员的修改个人信息页面,发现存在一个头像上传功能,简单选择一个t.php上传,页面提示文件类型错误,不排除这只是一个前端校验的可能,我们通过抓包修改文件后缀继续进行上传:

  测试后发现这里的上传点果然只对文件后缀进行了前端校验,直截了当上传.php后缀的文件:

  该CMS除了头像功能点直接暴力的文件上传之外(过于简单。。),还有没有可能存在其他角度的漏洞点呢?比如用户输入可以直接作为某些代码执行函数的参数,导致任意代码执行。怀着疑问我们继续对CMS开始进一步的挖掘,PHPStorm启动!XDebug配置!

  变量来自上一行的$rule[condition],并且替换了{(\w*?)},但是没有进行其他的过滤操作:

  通过分析和函数名可以大致对该函数作用有了解,是对通过用户id获得用户组权限,并且返回权限列表。

  到此,基本可以确定在管理员访问鉴权功能模块中会触发此流程。接着下断点进行动态调试,便于对变量值的查看,我们选择菜单中的任何一个选项进行访问,执行流程会经过上述我们分析过的检查函数中:

  分析后可以确定,数据库中用户拥有的权限对应的规则的condition字段将会作为eval的参数被执行

  接着继续确定数据表中的condition字段是否为用户可控,分析后可以发现,在后台的系统/节点 页面中存在对该数据表的操作功能,而附加规则对应数据表中的condition字段:

  本文针对代码执行漏洞,从配置文件、日志文件和缓存文件的写入,文件上传以及函数执行参数可控的角度对vaeThink v1.0.1进行简单地挖掘和分析。全文内容比较简单,目的是记录和分享交流,请大佬轻喷。

本文由计算机发布,转载请注明来源:小众CMSvaeThinkv101代码执行漏洞挖掘分