小菜只能找找没人用的cms练练手了

cnvd上有个 CoverCMS V1.16存在多个漏洞

漏洞描述 :CoverCMS V1.16存在重装、信息泄露、暴力破解、存储型跨站脚本和反射型跨站脚本漏洞。攻击者可利用漏洞获取敏感信息,如数据库账号密码、数据库名泄露、后台默认弱口令;在用户投稿文章页面中插入恶意js代码,可获得用户cookie等信息,导致用户被劫持;在前台搜索框处构造XSS语句,可进行弹框操作,获得用户cookie等信息。

简单安装完后看看代码吧。

重装漏洞

安装完后会在/dynamic/下生产install.lock

install.php

$lockfile = './dynamic/install.lock';

$step = $_POST['step'] ? $_POST['step'] : ($_GET['step'] ? $_GET['step'] : 1);

.../省略

if(!isset($dbhost) || !isset($ckpre)){

	$ierror = lang('base.inc.php noexist , please upload .');

}elseif(!ini_get('short_open_tag')){

	$ierror = lang('shorttaginvalid');

}elseif(file_exists($lockfile)){

	$ierror = lang('lockexist');

}elseif(!class_exists('cls_mysql')){

	$ierror = lang('include/mysql.cls.php noexist , please upload .');

}

安装时会进行判断是否存在install.lock

如果存在会进行提示,但是没有exit()

我们再次访问http://localhost/covercms/install.php

发现开始安装的按钮无法点击。

if($step == 1){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_introduce')."</div>";

	ins_mider();

	hidden_str('step',2);

	button_str('submit',lang('start install'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

}elseif($step == '2'){

	ins_header(1);

	echo "<div class=\"licence\">".lang('ins_license')."</div>";

	ins_mider();

	hidden_str('step',3);

	button_str('submit',lang('agree'),$ierror ? 1 : 0);

	ins_footer(1);

	$ierror && ins_message($ierror);

.../省略

button_str函数会根据$ierror在html标签添加 disabled=""

F12删掉 或直接http://localhost/covercms/install.php?step=2

就可以跳步骤了

虽然能看到 数据库账号密码、数据库名泄露、后台默认弱口令

但还是重装不了啊...

前台搜索xss

search.php

if($searchword){

	$filterstr .= ($filterstr ? '&' : '').'searchword='.rawurlencode(stripslashes($searchword));

}

对搜索词根本没过滤

闭合前后标签即可

"> <script>alert(/xss/)</script> <"

在用户投稿文章页面中插入恶意js代码

没找到 先留着

任意文件包含漏洞 (多处)

搜索带include和$的 可能存在漏洞

带后缀的就不看了

answers.inc.php

if(!submitcheck('barcsedit')){ //满足barcsedit为空 不设置即可

			if(empty($u_tplname)){

                //$u_tplname 可以变量覆盖(general.inc.php中伪全局 在admina中引用)

				echo form_str($actionid.'arcsedit',"?entry=answers&action=answersedit&page=$page$param_suffix");

				//搜索区块

				tabheader_e();

....//省略

			}else include(M_ROOT.$u_tplname);

....//省略

.inc.php的文件会在admina.php中引用

include_once M_ROOT.'./admina/'.$entry.'.inc.php';

构造url http://localhost/covercms/admina.php?entry=answers&action=answersedit&u_tplname=robots.txt

其他include $u_tplname的与之类似

代码审计:covercms 1.6的更多相关文章

  1. [代码审计]covercms 后台getshell

    0x00 环境介绍 CMS名称: covercms 运行环境: php 5.6.27-nts + apache + mysql 系统版本: 1.16 漏洞等级:高危 漏洞简介: 后台awnotas.i ...

  2. PHP代码审计中你不知道的牛叉技术点

    一.前言 php代码审计如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞.如审计代码中是否存在sql注入,则检查代码中sql语句到数据库的传输 和调用过程. 入门php代码审计实 ...

  3. 技术专题-PHP代码审计

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/24472674来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 一.前言 php代码审计如字面 ...

  4. 关于PHP代码审计和漏洞挖掘的一点思考

    这里对PHP的代码审计和漏洞挖掘的思路做一下总结,都是个人观点,有不对的地方请多多指出. PHP的漏洞有很大一部分是来自于程序员本身的经验不足,当然和服务器的配置有关,但那属于系统安全范畴了,我不太懂 ...

  5. Kindeditor 代码审计

    <?php /** * KindEditor PHP * * 本PHP程序是演示程序,建议不要直接在实际项目中使用. * 如果您确定直接使用本程序,使用之前请仔细确认相关安全设置. * */ r ...

  6. 一个CMS案例实战讲解PHP代码审计入门

    前言 php代码审计介绍:顾名思义就是检查php源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞. 1.环境搭建: 工欲善其事必先利其器,先介绍代码审计必要的环境搭建 审计环境 window ...

  7. php代码审计基础笔记

    出处: 九零SEC连接:http://forum.90sec.org/forum.php?mod=viewthread&tid=8059 --------------------------- ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  9. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

随机推荐

  1. matplotlib显示黑白灰度图像颜色设置

    对于黑白灰度图像(矩阵) 1. 默认使用伪彩色拉升 2 cmap参数为 binary,可能导致颜色反转 3. cmap = gray,same color as origin, that is, wh ...

  2. Docs-.NET-C#-指南-语言参考-预处理器指令:#pragma warning(C# 参考)

    ylbtech-Docs-.NET-C#-指南-语言参考-预处理器指令:#pragma warning(C# 参考) 1.返回顶部 1. #pragma warning(C# 参考) 2015/07/ ...

  3. 001-guava概述

    一.概述 Guava工程包含了若干被Google的 Java项目广泛依赖 的核心库,例如:集合 [collections] .缓存 [caching] .原生类型支持 [primitives supp ...

  4. zookeeper使用过程的错误

    一.zookeeper启动成功,dubbo服务也注册成功,但是服务消费者调用失败 报错如下: [myid:] - INFO [SyncThread:0:ZooKeeperServer@645] - E ...

  5. OpenBLAS编译 Debug x64 Win10 vs2015

    OpenBLAS编译  Debug x64  Win10  vs2015 >------ 已启动生成: 项目: ZERO_CHECK, 配置: Debug x64 ------ > Che ...

  6. SQLite带参数处理方法

    /// <summary> /// 执行语法[新增 修改 删除] /// </summary> /// <param name="sqlText"&g ...

  7. C#DbHelperOleDb,Access数据库帮助类 (转)

    /// <summary>/// 编 码 人:苏飞/// 联系方式:361983679  /// 更新网站:[url=http://www.sufeinet.com/thread-655- ...

  8. windows2008R2下iis7.5中的url重写(urlrewrite)

    以前在windows2003里,使用的是iis6.0,那时常使用的URL重写组件是iisrewrite,当服务器升级到windows2008R2时,IIS成了64位的7.5,结果iisreite组件是 ...

  9. 网页布局 CSS实现DIV并列等高

    同事去笔试遇到的问题 要求3列div根据内容的变化通过css实现等高 效果图: 原理: 同列的div设置一个父级 overflow:hidden 超出部分隐藏 给同列的div设置css margin- ...

  10. Appium移动自动化测试-----(五) java-client安装与测试

    前提条件 当你点击这一章时,说明你是打算使用 Java 语言编写 appium 自动化测试脚本的. 1.安装 Java 环境 ,我想这一步你已经搞定了 2.安装 IntelliJ IDEA , 当然, ...