axublog审计

发表于

找了一个比较小众的版本的PHP开源程序,选择了一个比较老的版本,参考了网上一些别人的审计方法同时我自己也进行了部分审计。本片文章就是记录自己的审计过程。

重新安装+GetShell

初识安装过程

文件的安装位置在:install/goinstall.php
在goinstall.php引入了文件

1
2
require_once("../class/c_md5.php");
require_once("install_fun.php");

c_md5.php,是封装好的用于对密码加密的函数

install_func.php,包含了每一步需要执行的函数的方法,如step1()step2()step3()step4()以及chkoutput()chkoutput()用于检查是否是非法提交,是否按照安装顺序安装网站。

安装绕过

网站的具体的安装逻辑如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
switch ($_GET["g"]) {
    case "step2":
        chkoutpost();
        step2();
        break;
    case "step3":
        chkoutpost();
        step3();
        break;
    case "step4":
        chkoutpost();
        step4();
        break;
    default:
        if (file_exists("../cmsconfig.php")) {
            echo "<p align=center><br><br><br><font color=red>系统已安装!若要重新安装,请删除文件 cmsconfig.php ! </font></p>";
            break;
        } else {
            step1();
            break;
        }
}

通过switch对参数g判断目前安装进度。默认情况下,通过检查是否存在cmsconfig.php文件判断网站是否已经安装。而其中的chkoutpost()方法用于判断是否越权提交。

install/install_fun.php:chkoutpost():

1
2
3
4
5
6
7
function chkoutpost() {
    $fromurl = $_SERVER['HTTP_REFERER'];
    if ($fromurl == '') {
        echo '<p align=center><br><font color=red>禁止非法提交!</font><br></p>';
        die();
    }
}

通过referer判断是否为越权安装,很明显是被可以绕过的。

getshell

步骤4:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
function step4() {
    $root = $_POST["root"];
    $dbuser = $_POST["dbuser"];
    $dbpsw = $_POST["dbpsw"];
    $dbname = $_POST["dbname"];
    $tabhead = $_POST["tabhead"];
    $ad_user = $_POST["ad_user"];
    $ad_psw = $_POST["ad_psw"];
    $webname = $_POST["webname"];
    $weburl = $_POST["weburl"];
    $webinfo = $_POST["webinfo"];
    $webkeywords = $_POST["webkeywords"];
    $webauthor = $_POST["webauthor"];
    // some other code
    // .......
    $file = "config_empty.php";
    $fp = fopen($file, "r");         //以写入方式打开文件
    $text2 = fread($fp, 4096);         //读取文件内容
    $text2 = str_replace('@root@', $root, $text2);
    $text2 = str_replace('@dbuser@', $dbuser, $text2);
    $text2 = str_replace('@dbpsw@', $dbpsw, $text2);
    $text2 = str_replace('@dbname@', $dbname, $text2);
    $text2 = str_replace('@tabhead@', $tabhead, $text2);
    $text2 = str_replace('@webname@', $webname, $text2);
    $text2 = str_replace('@weburl@', $weburl, $text2);
    $text2 = str_replace('@webinfo@', $webinfo, $text2);
    $text2 = str_replace('@webkeywords@', $webkeywords, $text2);
    $text2 = str_replace('@webauthor@', $webauthor, $text2);
    $file = "../cmsconfig.php";          //定义文件
    $fp = fopen($file, "w");         //以写入方式打开文件
    fwrite($fp, $text2);
}

step4()函数中,第1行到12行是读取用户输入,虽然将用户的配置写入到config_empty.php生成config.php,至此整个系统安装完毕。

install/config_empty.php代码:

1
2
3
4
5
6
7
8
9
10
11
$root="@root@";                   #MySQL服务器 
$dbuser="@dbuser@";           #MySQL用户名 
$dbpsw="@dbpsw@";           #MySQL密码 
$dbname="@dbname@";               #数据库名
$tabhead="@tabhead@";               #表前缀
$webname="@webname@";             #网站名称
$webkeywords="@webkeywords@";             #网站关键字
$webinfo="@webinfo@";             #网站简介
$weburl= "@weburl@";             #网站链接,根目录可填写/,便于移动网站
$webauthor="@webauthor@";             #网站编辑,前台显示
$webbegindate="2017-05-30";             #网站建立日期

所有的变量名都是使用双引号,那么就可以执行命令了。

POC

通过firefox的插件设置referer值

在重新安装中加入代码

访问cmsconfig.php

修复

这个漏洞在新版1.0.4中已经修复了,在安装成功之后直接删除goinstall.php即可。

登录绕过

登录逻辑

登录绕过这个代码写的比较的有意思。
管理员登录的代码在login.php
ad/login.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
function jsloginpost() {
    global $tabhead;
    global $txtchk;
    @$user = $_POST["user"];
    @$psw = $_POST["psw"];
    $psw = authcode(@$psw, 'ENCODE', 'key', 0);
    @$loginlong = $_POST["loginlong"];

    setcookie("lggqsj", date('Y-m-d H:i:s', time() + $loginlong), time() + 60 * 60 * 24, "/; HttpOnly", "", '');

    $tab = $tabhead . "adusers";
    $chk = " where adnaa='" . $user . "' and adpss='" . $psw . "' ";
    mysql_select_db($tab);
    $sql = mysql_query("select * from " . $tab . $chk);
    if (!$sql) {
        $jieguo = "<div id=redmsg>(数据库查询失败!)</div>";
    } else {
        $num = mysql_num_rows($sql);
        if ($num == 0) {
            $jieguo = '<div id=redmsg>登录失败:账户或密码错误!</div>';
        } else {
            loginpass($loginlong);
            $jieguo = '<div id=bluemsg>登录成功!正在前往<a href="index.php">后台</a>。。。</div><meta http-equiv="refresh" content="1;url=index.php">';
            @$chkmoblie = isMobile();
            if ($chkmoblie == 1) {
                $jieguo = '<div id=bluemsg>登录成功!正在前往<a href="wap.php">后台</a>。。。</div><meta http-equiv="refresh" content="1;url=wap.php">';
            }
        }

    }
    $json_arr = array("jieguo" => $jieguo);
    $json_obj = json_encode($json_arr);
    echo $json_obj;
}

jsloginpost()函数就是用来处理管理员登录。
在其中调用了loginpass($loginlong);,此函数是在c_login.php中定义的。

ad/c_login.php
代码进行了加密,为了方便看,对部分代码进行了删减:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
// 判断用户是否已经登录的函数
function chkadcookie()
{
    @$file = "../cache/txtchkad.txt";          //定义文件
    @$fp = fopen($file, "r");         //以写入方式打开文件
    @$txtchkad = fread($fp, 4096);         //读取文件内容
    $txtchkad2 = str_replace(@$_COOKIE["chkad"], '', $txtchkad);
    if (@$_SESSION["chkad"] == '' && @$_COOKIE["chkad"] == '') {
        header("Content-type:text/html; charset=utf-8");
        echo '<div id=redmsg>请<a href="login.php">登录</a>。。。</div><script>tiao();</script>';
        exit;
    }
    if ($txtchkad == $txtchkad2) {
        header("Content-type:text/html; charset=utf-8");
        echo '<div id=redmsg>请<a href="login.php">登录</a>。。。</div><script>tiao();</script>';
        exit;
    }
}

// 记录当前登录的用户
function loginpass($str) {
    global $webauthor;
    global $date;
    $txtchkad = $_SERVER['HTTP_USER_AGENT'] . '_' . $_SERVER['REMOTE_ADDR'] . '_' . $date;
    if (!file_exists('../cache')) {
        mkdir('../cache');
    }
    $file = "../cache/txtchkad.txt";          //定义文件
    if (file_exists($file)) {
        $txt = file_get_contents($file);
        $txt = $txtchkad . "\r\n" . $txt;
    } else {
        $txt = $txtchkad . "\r\n";
    }
    file_put_contents($file, $txt);
    setcookie("chkad", $txtchkad, time() + $str, "/; HttpOnly", "", '');
    $_SESSION["chkad"] = $txtchkad;
}

函数loginpass($str)中的参数$str表示的cookie的有效时间。
登录之后在,拼凑用户的表示$txtchkad = $_SERVER['HTTP_USER_AGENT'] . '_' . $_SERVER['REMOTE_ADDR'] . '_' . $date;,将其写入到/cache/txtchkad.txt

在判断登录的函数中的判断逻辑是:

1
2
3
4
// 读取txtchkad.txt文件
@$file = "../cache/txtchkad.txt";          //定义文件
@$fp = fopen($file, "r");         //以写入方式打开文件
@$txtchkad = fread($fp, 4096);         //读取文件内容

管理员登录的逻辑判断代码为:
判断一:

1
@$_SESSION["chkad"] == '' && @$_COOKIE["chkad"] == ''

如果session和cookie中得chkad都会空,则认定管理员没有登录

判断二:

1
2
3
4
@$txtchkad = fread($fp, 4096);         //读取文件内容
// 读取cookie中的$_COOKIE["chkad"],此值是在loginpass()函数中已经设置
$txtchkad2 = str_replace(@$_COOKIE["chkad"], '', $txtchkad);
$txtchkad == $txtchkad2

如果$txtchkad == $txtchkad2,则需要用户登录,那么就说明$txtchkad中不含@$_COOKIE["chkad"].

绕过方法

自此,绕过方法就很简单了,主要str_replace(@$_COOKIE["chkad"], '', $txtchkad);能够执行,即$txtchkad中含有@$_COOKIE["chkad"]内容即可。又因为在写入到txtchkad包括$_SERVER['HTTP_USER_AGENT'] . '_' . $_SERVER['REMOTE_ADDR'] . '_' . $date。那么就可以将chkad设置为user-agent,_,:等都可以绕过了。

POC

在登录页面,添加chkad的cookie值

访问ad/index.html直接进入后台。

修复

这个漏洞在1.0.4中仍然存在

SQL注入

所有的SQL注入完全是拼接的写法,没有使用pdo,也没有对输入进行过滤,所以在很多地方都存在SQL注入。

管理员登录

ad/login.php:jsloginpost()

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
function jsloginpost() {
    global $tabhead;
    global $txtchk;
    @$user = $_POST["user"];
    @$psw = $_POST["psw"];
    $psw = authcode(@$psw, 'ENCODE', 'key', 0);
    @$loginlong = $_POST["loginlong"];

    setcookie("lggqsj", date('Y-m-d H:i:s', time() + $loginlong), time() + 60 * 60 * 24, "/; HttpOnly", "", '');

    $tab = $tabhead . "adusers";
    $chk = " where adnaa='" . $user . "' and adpss='" . $psw . "' ";
    mysql_select_db($tab);
    $sql = mysql_query("select * from " . $tab . $chk);
    if (!$sql) {
        $jieguo = "<div id=redmsg>(数据库查询失败!)</div>";
    } else {
        $num = mysql_num_rows($sql);
        if ($num == 0) {
            $jieguo = '<div id=redmsg>登录失败:账户或密码错误!</div>';
        } else {
            loginpass($loginlong);
            $jieguo = '<div id=bluemsg>登录成功!正在前往<a href="index.php">后台</a>。。。</div><meta http-equiv="refresh" content="1;url=index.php">';
            @$chkmoblie = isMobile();
            if ($chkmoblie == 1) {
                $jieguo = '<div id=bluemsg>登录成功!正在前往<a href="wap.php">后台</a>。。。</div><meta http-equiv="refresh" content="1;url=wap.php">';
            }
        }

    }
    $json_arr = array("jieguo" => $jieguo);
    $json_obj = json_encode($json_arr);
    echo $json_obj;
}

判断管理员是否登录的代码:

1
2
3
4
$tab = $tabhead . "adusers";
$chk = " where adnaa='" . $user . "' and adpss='" . $psw . "' ";
mysql_select_db($tab);
$sql = mysql_query("select * from " . $tab . $chk);

没有进行任何的过滤,万能用户名直接可以进。

POC

使用万能用户名登录
Alt text

hit.php注入

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$g = $_GET['g'];

if ($g == 'arthit') {
    $id = $_GET['id'];
    if ($id != '') {

        $tab = $tabhead . "arts";
        mysql_select_db($tab);
        $sql = mysql_query("UPDATE " . $tab . " SET hit=hit+1 where id=" . $id);
        $sql = mysql_query("select * from " . $tab . " where id=" . $id);
        $row = mysql_fetch_array($sql);
        $str = $row['hit'];
        echo 'document.write(' . $str . ');';
    }
}

很明显id存在SQL注入

但是上面update语句会报错,update axublog_arts set hit=hit+1 WHERE id= -1 union select 1,2,3,4,5,6,7,8,9,10;

art.php

art.php是管理员后台页面用于对当前的文章进行管理,但是并没有做登录验证,直接可以访问到所有的文章。
URL为host\ad\art.php
其中的主要逻辑代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
@$g = $_GET["g"];
switch ($g) {
    case "addart":
        addart();
        break;
    case "addsave":
        addsave();
        break;
    case "del":
        del();
        break;
    case "edit":
        edit();
        break;
    case "editsave":
        editsave();
        break;
    case "delall":
        delall();
        break;
    case "chkall":
        chkall();
        break;
    default:
        artlist();
        break;
}

function del() {
    chkoutpost();
    $id = $_GET['id'];

    global $tabhead;
    $tab = $tabhead . "arts";

    $sql = "DELETE FROM " . $tab . " WHERE id=" . $id;
    if (mysql_query($sql)) {
        echo "<div id=ok>文章删除成功</div>";
    } else {
        echo "<div id=err>文章删除失败,请检查分类是否存在,请检查数据库!</div>";
        jump('javascript:history.back()', 1);
    }

    global $tabhead;
    $tab = $tabhead . "nav_art";
    $sql = "DELETE FROM " . $tab . " WHERE artid=" . $id;
    if (mysql_query($sql)) {
        echo "<div id=ok>后续处理成功</div>";
        jump('javascript:history.back()', 1);
    } else {
        echo "<div id=err>文章删除失败,请检查数据库!</div>";
        jump('javascript:history.back()', 1);
    }
}

可以看到其中的del()没有对ic参数进过滤,直接进行了Delelte的操作DELETE FROM " . $tab . " WHERE id=" . $id
delete语句同样会存在sql注入的问题,但是delete的错误语句不会回显,所以无法显示内容,所以不存在SQL注入。

art.php中的文章编辑函数

1
2
3
4
5
6
7
8
9
10
11
12
function edit() {
    $id = $_GET['id'];
    if ($id == '') {
        echo "<div id=err>文章id为空,请检查!</div>";
        jump('?', 1);
    }
    $a = artidgetart($id);
    $author = $a['author'];
    $title = $a['title'];
    $content = $a['content'];
    $content = stripslashes($content);
    // some other code

其中的artidgetart()函数位于class/c_db.php中,代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
function artidgetart($artid) {
    global $tabhead;
    $tab = $tabhead . "arts";
    $chk = " where id=" . $artid . " ";
    mysql_select_db($tab);
    $sql = mysql_query("select * from " . $tab . $chk . " ");
    if (!$sql) {
        echo "<font color=red>(artidgetart打开数据库时遇到错误!)</font>";
        return false;
    }
    while ($row = mysql_fetch_array($sql)) {
        @$a = array("author" => $row['author'], "title" => $row['title'], "content" => stripslashes($row['content']), "htmlname" => $row['htmlname'], "type" => $row['type'], "edate" => $row['edate'], "hit" => $row['hit'], "tags" => $row['tags']);
    }
    return @$a;
}

很明显的SQL注入。

POC如下:

修复

这个漏洞在新版中也已经进行了修复。修复的方式主要对权限绕过进行了限制,同时也增加了SQL注入的判断。

总结

发现很多的漏洞都与后台的管理有关,但是如果将后台管理员的目录ad修改为其他的目录,可能上述的很多漏洞都无法使用了。估计这个cms还是存在很多的漏洞,以后再接着发吧。