74CMS多处注入漏洞以及后台getshell

版本是74cms_v3.6_20150902,最新的已经修复。

第一个逻辑漏洞是短信发送处的问题,在ajax_user.php文件中,原代码片段如下:

可以看出,这里每次会把这次输入的手机号和session中记录的手机号做验证,如果相同并且时间间隔不够3分钟,那么就会报错,但是这里有一个问题,就是每次输入了手机号后如果成功发送了短信,那么就会覆盖掉session中的手机号,所以我们只需要轮询两个正常的手机号即可越过限制。目前版本已经修复,修复方法也很简单,就是先做一个时间验证即可,不管输入的手机号是多少,发短信的时间间隔不可少于60s,很聪明的fix。
后台还有一个任意文件删除的问题,文件是admin/admin_article.php,这里会删除掉$_GET来的img指向的文件,代码片段如下:

看到这里过滤了../,然而在windows下使用..\也是可以的,所以可以任意删除文件。

2.后台getshell
后台GetShell的方法不少,这里算是其中一个,而且估计不会在短期内修补,因为算是一个正常的系统功能。
这个GetShell的方法很简单,就是先通过普通会员的头像文件上传,传上来有要执行的代码的图片,后台在包含进来即可。
思路就是这样,那么前台头像上传必须要没有验证上传的文件内容,看代码:

这里直接fileput_contents了,不过可惜没办法控制文件名,一般来说这里就没啥用了,不过后台的一个任意文件包含就可以用上了。代码如下:

这个文件是在后台的计划任务管理那里,具体名字我也忘了……但是这个部分的目的是为了帮助管理员执行一些简单的任务,比如统计站点访问的情况或者其他的自定义代码,而这里的问题就是为了方便的做到统计的目的,这套cms在common.inc.php(具体名字忘了)里include了执行计划的代码,也就是说,只要后台添加了一个计划任务,前台即可执行。
验证方法也很简单,这里大家可以做一个phpinfo的文件添加到计划任务,再访问下主页即可看见主页上用户登录处出现了phpinfo的结果。
由于这个计划任务的功能是系统功能的一部分,估计不会做啥修复,不过前台头像上传可能做一些修改,但是也不怕,这里其实还有一个问题。
就是CSRF,虽然他有一个防CSRF的功能,但是他在后台竟然有个可以关闭CSRF的开关,那么出于方便或者啥的原因,如果管理员关闭了CSRF,那么只要管理员看见了一个精心构造的图片即可getshell(不过这可能性很低)。
3.sql注入
文件位置: ajax_user.php,当act为get_pass_check时,出现了注入,代码如下:

这里没有对$username做过滤,不过全局有addslash,但是这里可以宽字节注入,那么就可以注入了。DEMO站示意图:
正常请求:
1
这里反回了false,因为不存在这个用户,那么换个payload:

这句话就是简单地or 1=1,如果可以注入,那么应该是返回true的:
1

后台注入还是不少,这里列出两个:
第一处: admin_category.php文件,当act是edit_color_save时,直接执行了如下语句:

跟入函数:

发现这里没有引号,所以可以注入。
1
第二处: 在admin_baiduxml.php文件中,当act是setsave时,执行了如下语句:

所以注入就很明显了:
1

from:http://www.cnblogs.com/yuris115/p/5724661.html

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录