复盘熊海cms存在的漏洞

1.前言

熊海CMS是一个相对简单的CMS，存在很多漏洞可以利用它的主页是这样子

要进行代码审计前，得先了解这个CMS网站的路径对应哪些文件

举个例子现在的网址是192.168.3.43/?r=contact

然后丢到seay里面发现对应的文件目录是WWW/files/content.php，知道相对的目录以后可以快速跟进文件内容

2.漏洞复现

1.1.SQL漏洞
丢到seay里面随机点一个SQL漏洞

点开以后该代码是这样的:
$query = “UPDATE content SET hit = hit+1 WHERE id=$id”;
是一条查询语句，where 后面的 id=$id并没有加单引号保护，所以存在SQL注入

对应的网页路径就是192.168.3.43/？r=content&cid=18

直接丢到SQLMAP成功跑出来

2.1 XSS漏洞
关于XSS漏洞，我的想法是如果存在SQL漏洞也有可能存在XSS漏洞，先黑盒测试一下，把刚才的URL丢到xsstrike成功生成payload

然而不太行

再丢到Burp里面成功反弹成功

3.1 文件包含漏洞
点开第一条跟踪到/index.php
error_reporting(0); //关闭错误显示
$file=addslashes($_GET[‘r’]); //接收文件名
$action=$file==’’?’index’:$file; //判断为空或者等于Index
include(‘files/‘.$action.’.php’);
首先忽略第一条，大概意思就是我们以GET型传参到r,然后是以addslashes()函数经过，接着判断要载入的文件，最后直接进入include函数包含。由于代码限制了只能在file目录下，所以可以用../进行跳转
所以我把旧的phpinfo直接复制到跟目录下

直接在r=输入../phpinfo成功验证

4.1越权
位置:inc/checklogin.php
<?php
$user=$_COOKIE[‘user’];
if ($user==””){
header(“Location: ?r=login”);
exit;
}
?>
这里有个逻辑问题，就是cookie直接赋值给user,假如user不为空就跳转到login，反之就可以访问

这是后台发布页面

退出以后在点后退，还是访问成功

按了F12以后发现没有user的cookie的值手动添加一个

验证不用登录也可以进后台了