Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

kkcms1.371代码审计 渗透

 Share


Recommended Posts

预处理分析

除了编辑器以外的php都会引用system/inc.php或者system/library.php

  • library.php 处理函数和单双引号转义处理
  • inc.php 引用了system目录里的所有文件

大概分析

首先是install/index2.php。写入数据库和生成install.lock文件的处理

cFIVqP.png

首先加载了/system/library.php

cFIlxs.png

可以看到,对所有的请求对单双引号进行了转义

if (!defined('PCFINAL')) {
    exit('Request Error!');
}
if (!get_magic_quotes_gpc()) {
    if (!empty($_GET)) {
        $_GET = addslashes_deep($_GET);
    }
    if (!empty($_POST)) {
        $_POST = addslashes_deep($_POST);
    }
    $_COOKIE = addslashes_deep($_COOKIE);
    $_REQUEST = addslashes_deep($_REQUEST);
}

之后index2.php的流程

1.判断了install.lock文件是否存在
2.将数据库配置信息写入到system/data.php
3.往数据库导入sql

由于过滤了特殊符号,这里单引号没法闭合。无法利用
安装完默认后台:admin/123456

xss

template\wapian\movie.php

cFI0z9.png

getPageHtml函数是用来模板渲染的

cFIDMR.png

看了一下payload主要还是$yourneed参数,跟踪发现来自360.php

cFIgIO.png
cFIcdK.png

无任何过滤
payload:m="11111111111"><script>prompt(/xss/)</script><

cFIRiD.png

貌似payload并不会因为addslashes_deep函数而失效

个人信息修改处,无任何过滤造成存储型xss

cFoKw6.png

payload:”><script>prompt(/xss/)</script><"

cFoGSH.png
cFoJld.png

申请友链的存储xss

cFoop4.png

后台处理

cFoO76.png
cFojAK.png

留言板和这个差不多一致,省略

SQL注入

虽然使用了addslashes_deep函数。导致登录处和代单/双引号的sql无法闭合,数据库也不是GBK
but还是有一处盲注

cFTS9e.png
cFT9cd.png

cookie爆破后台绕过验证码

cFTZ4S.png
cFTkHP.png

任意文件读取

在开启了 allow_url_fopen和allow_url_include开启后会变成RCE

cFTm9g.png

小结

这套CMS靠着一些奇怪的方法来导致原本可利用的漏洞无法利用,例如后台功能大部分可以越权利用。但是另外的函数找不到,导致利用失败

cFTwuR.png

总的来说,这套CMS有点水

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...