Bluecms代码审计&&复现

傷城~ 2022-12-21 03:07 153阅读 0赞

![漏洞代码扫描][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p1b3NpZGVfX2xvcmQ_size_16_color_FFFFFF_t_70]

这漏洞十分沙雕作为代码审计low级别的cms学习一下php语法和代码审计基本套路复习渗透测试常规手段还行。10年php写成这样可以了，好像还有支付宝二维码支付，比我强。

我一个个验证✌

一。/uploads/ad\_js.php 因为select语句变量无'' 存在sql注入

<?php
    /**
     * [bluecms]版权所有 标准网络，保留所有权利
     * This is not a freeware, use is subject to license terms
     *
     * $Id：ad_js.php
     * $author：lucks
     */
    define('IN_BLUE', true);
    require_once dirname(__FILE__) . '/include/common.inc.php';
    
    $ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
    if(empty($ad_id))
    {
    	echo 'Error!';
    	exit();
    }
    
    $ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
    if($ad['time_set'] == 0)
    {
    	$ad_content = $ad['content'];
    }
    else
    {
    	if($ad['end_time'] < time())
    	{
    		$ad_content = $ad['exp_content'];
    	}
    	else
    	{
    		$ad_content = $ad['content'];
    	}
    }
    $ad_content = str_replace('"', '\"',$ad_content);
    $ad_content = str_replace("\r", "\\r",$ad_content);
    $ad_content = str_replace("\n", "\\n",$ad_content);
    echo "\r\n";
    
    ?>

可以看出来对变量ad\_id没有别的处理。除了trim去掉空格。然后引用文件里对\_GET做过addslashes处理（就是把特殊字符进行转义）但是在这个地方没有什么用。因为此处的sql注入不需要闭合单引号。接下来就是数据库注入测试常规操作。（正常情况下一般找不到sql注入的。。。）

url:http://path//uploads/ad\_js.php?ad\_id=1 数据库里竟然没有内容 pass

function query($sql){
        	if(!$query=@mysql_query($sql, $this->linkid)){
        		$this->dbshow("Query error:$sql");
        	}else{
        		return $query;
        	}
        }

竟然还显示query error 这种傻逼代码真的不是我写出来的么。。。。我都怀疑源码是不是我自己改了怎么会这么傻逼。

其他就只列举结果了 排名分先后。

复现

1.sql注入

[http://localhost/src\_new/src\_new/uploads/ad\_js.php?ad\_id=1%20union%20%20select%201,5,0,3,4,database(),6][http_localhost_src_new_src_new_uploads_ad_js.php_ad_id_1_20union_20_20select_201_5_0_3_4_database_6]

先猜字段。union 连接相同的列数 以第一张表为字段名

猜完字段再猜测 内容是第几个字段且约束条件是什么。

2.不能

$ann\_id = !empty($\_REQUEST\['ann\_id'\]) ? intval($\_REQUEST\['ann\_id'\]) : ''; $cid = !empty($\_REQUEST\['cid'\]) ? intval($\_REQUEST\['cid'\]) : 1;

intval

3.不能

4.不能

5.不能

6.不能

7.虚假无变量

8.不能

9.可以删除项目文件成功 前提是项目文件路径定义

10.不能

11.鸡肋 只能查找同一个目录下的文件内容

include 'include/payment/'.$\_POST\['pay'\]."/index.php";

12同9 代码逻辑应该可以删除成功 但是我好像都没有这个表结构。

13需要用bp或者hackbar修改一下。 post提交的。

71 路径穿越 代码看着可 无变量名过滤 且文件目录正常。

74 admin权限 垃圾 可能存在代码执行 因为可以写入项目文件里

85 垃圾 函数 没有执行，不可控且

102

110

112

125

162

170

176

187

224

239

255

大概就审计这么多，每种类型都审计1次以上。大概一共审计了27个左右。其余也大致看完了，看完了所有。后面几个不好利用。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3p1b3NpZGVfX2xvcmQ_size_16_color_FFFFFF_t_70]: /images/20221120/7adf195e222e417b84c3f93b0fbc7bb2.png
[http_localhost_src_new_src_new_uploads_ad_js.php_ad_id_1_20union_20_20select_201_5_0_3_4_database_6]: http://localhost/src_new/src_new/uploads/ad_js.php?ad_id=1%20union%20%20select%201,5,0,3,4,database%28%29,6