部署bluecms v1.6
靶场下载地址:
https://wwtt.lanzn.com/b00uyckd9a
密码:2x71
访问 http://127.0.0.1/bluecms/install/
数据库名称建议跟网站名一样
进入mysql-front查看,出现bluecms数据库,并且库中有很多表
然后访问前台:http://127.0.0.1/bluecms/
访问后台页面:http://127.0.0.1/bluecms/admin/
以上报错需要修改php的版本为5.2.17,因为这个网站比较老了,得用旧的php版本兼容
之后访问正常。
对bluecms v1.6做代码审计
sql注入的代码审计
新建项目把bluecms拖进来
得先找谁给它赋值的,先分析一下这个语句的作用
// 简化版的if语句(三元运算符)
if(!empty($_GET['ad_id'])){
trim($_GET['ad_id'])
}else{
''
}
!empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '' !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '' 这句相当于if的简化版语句,为真执行trim,为假执行'',这么个意思。empty() 函数在PHP中用于检查一个变量是否为空,前面有个!号就是取反,表示有数值传进来那么将返回 true,
trim() 函数在PHP中用于去除字符串首尾的空白字符或指定字符,说明有做过滤,去掉两端空格,但是没有做严格过滤连个转义都没做,
那么通过分析,前端传过来的值trim($_GET['ad_id'])交给了它$ad_id,($ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';)的$ad_id,$ad_id,回过头来,交给了这里的SQL语句执行,很明显,存在SQL注入
如果找到它的网站对应的页面可以这样,先复制路径,粘贴前面的,127.0.0.1/bluecms/ad_js.php,浏览器访问,出现错误,那就得传参,因为要id=什么什么
试一下看参数是什么才有页面显示,试了几个发现试不出来
那只能去找一下这个函数是怎么做的
SQL语句传进来,传进来后,query函数查询,获得一行,看着也没什么过滤,
先说到这吧,访问页面也没访问到,空白的,找不到传什么值也无所谓,可以丢进sqlmap跑一下,指定一下ad_id这个值,机器跑快些,手工测挺慢的,而且也不显示页面内容还得用盲注,比较麻烦,直接扔给sqlmap跑一下
sqlmap -u "http://192.168.1.16/bluecms/ad_js.php?ad_id=1" -p "ad_id" --batch
通过分析,这里确实存在sql注入漏洞。
文件包含漏洞代码审计
- 使用敏感函数参数回溯法
那么无非就是那个包含的函数,依次查询
前面几个很多都是写死的,那么怎么快速找呢,找$,变量
文件包含分两大类,猜一下这里有没有远程文件包含,首先这儿肯定没有,应为前面拼接了,传进来的也是http这样式的拼接前面的那就不对了,
试着找一下对应的页面什么时候能触发这个代码,去测试,前面的可以用../../方式,后面的语句可以用//注释
访问user.php时,至少得传个act参数,并且它的值等于pay,这样他才会执行这个代码
说明是生效的
利用Windows的特点,假如你的...非常多,它会认为后面没东西了,相当于把include 'include/payment/'.$_POST['pay']."/index.php";的"/index.php"忽视掉
&pay=../../../../../../../../Windows/System32/drivers/etc/hosts.........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................假如hackbar不太行那就用抓包的方式修改后重发,找到对应的功能点,pay基本在充值支付那里
&pay=../../../../../../../../Windows/System32/drivers/etc/hosts.........................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................................
那么这种方式也可以
定向功能分析法(xss)
先删除前端验证,在注册。。。 http://127.0.0.1/bluecms/user.php?act=reg
首先,这几个框可能哪个地方存在XSS的可能性最大
<h1>123</h1> 不一定用弹窗那个,可以直接标签试试够了
前端有限制找到对应的地方删掉就好了
用户名和邮箱都变大了,意味着可能有XSS;试一下<script>alert(1);</script>
发现账户那里虽然有但是后端里限制了16个字符以内的长度,我们写的脚本没发利用,那只能利用邮箱,这里是个存储型XSS
或者是不删除前端验证,先正常注册,然后抓包,修改邮箱为恶意代码...
这相当于挖漏洞的一个小思路了,找功能,找对应可能存在的漏洞点然后去测试,
