【代码审计】XYHCMS V3.5代码执行漏洞分析

时间:2022-09-03 15:29:49

 

0x00 环境准备

XYHCMS官网:http://www.xyhcms.com/

网站源码版本:XYHCMS V3.5(2017-12-04 更新)

程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html

测试网站首页:

【代码审计】XYHCMS V3.5代码执行漏洞分析

0x01 代码分析

1、文件位置: /App/Manage/Controller/SystemController.class.php 第194行开始:

  1. public function site() {
  2. if (IS_POST) {
  3. $data = I('config', array(), 'trim');
  4. foreach ($data as $key => $val) {
  5. if (stripos($val, '<?php') !== false) {
  6. $data[$key] = preg_replace('/<\?php(.+?)\?>/i', '', $val);
  7. }
  8. }
  9. $data['CFG_IMGTHUMB_SIZE'] = strtoupper($data['CFG_IMGTHUMB_SIZE']);
  10. 10.         $data['CFG_IMGTHUMB_SIZE'] = str_replace(array(',', 'X'), array(',', 'X'), $data['CFG_IMGTHUMB_SIZE']);
  11. 11.         if (empty($data['CFG_IMGTHUMB_SIZE'])) {
  12. 12.             $this->error('缩略图组尺寸不能为空');
  13. 13.         }
  14. 14.           if (!empty($data['CFG_IMAGE_WATER_FILE'])) {
  15. 15.             $img_ext = pathinfo($data['CFG_IMAGE_WATER_FILE'], PATHINFO_EXTENSION);
  16. 16.             $img_ext = strtolower($img_ext);
  17. 17.             if (!in_array($img_ext, array('jpg', 'gif', 'png', 'jpeg'))) {
  18. 18.                 $this->error('水印图片文件不是图片格式!请重新上传!');
  19. 19.                 return;
  20. 20.             }
  21. 21.           }
  22. 22.           foreach ($data as $k => $v) {
  23. 23.             $ret = M('config')->where(array('name' => $k))->save(array('s_value' => $v));
  24. 24.         }
  25. 25.         if ($ret !== false) {
  26. 26.             F('config/site', null);
  27. 27.             $this->success('修改成功', U('System/site'));
  28. 28.           } else {
  29. 29.               $this->error('修改失败!');
  30. 30.         }
  31. 31.         exit();
  32. 32.     }

这段函数中对提交的参数进行处理,然后写入配置文件。注意看红色部分代码,接收到的参数进行正则匹配,如果检测’<?php’,就通过正则将这部分脚本代码替换为空,但显然这样过滤是不严谨的,存在被绕过的情况。PHP有多个代码风格,标准的”<?php ?>”被过滤,那么我们可以通过变换代码风格,达到绕过代码过滤,写入配置文件,导致任意代码执行,最后控制网站服务器权限

  1. PHP代码风格:
  2. 标准风格:<?php  ?>
  3. ASP风格 :<%  %>
  4. 长风格:<script language='php'></script>

0x02 漏洞利用

1、        登录网站后台,在系统设置—网站设置—会员配置:

提交构造的PHP长风格的一句话木马,绕过代码过滤,写入配置文件,达到任意代码执行的目的。

【代码审计】XYHCMS V3.5代码执行漏洞分析

2、        通过访问http://127.0.0.1/App/Runtime/Data/config/site.php,成功触发代码执行漏洞。【代码审计】XYHCMS V3.5代码执行漏洞分析

3、        利用菜刀连接,控制网站服务器权限:

【代码审计】XYHCMS V3.5代码执行漏洞分析

0x03 修复建议

1、写入配置文件前,对特殊字符(如<、>等)进行htmlencode处理;

2、全局配置可考虑写入数据库进行调用。

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

【代码审计】XYHCMS V3.5代码执行漏洞分析

【代码审计】XYHCMS V3.5代码执行漏洞分析的更多相关文章

  1. 【代码审计】OTCMS&lowbar;PHP&lowbar;V2&period;83&lowbar;代码执行漏洞分析

      0x00 环境准备 OTCMS官网:http://otcms.com 网站源码版本:网钛CMS PHP版 V2.83 [更新于2017.12.31] 程序源码下载:http://d.otcms.c ...

  2. 【代码审计】YzmCMS&lowbar;PHP&lowbar;v3&period;6 代码执行漏洞分析

      0x00 环境准备 YzmCMS官网:http://www.yzmcms.com/ 程序源码下载:http://pan.baidu.com/s/1pKA4u99 测试网站首页: 0x01 代码分析 ...

  3. 【代码审计】DouPHP&lowbar;v1&period;3代码执行漏洞分析

      0x00 环境准备 DouPHP官网:http://www.douco.com/ 程序源码下载:http://down.douco.com/DouPHP_1.3_Release_20171002. ...

  4. 【代码审计】iZhanCMS&lowbar;v2&period;1 代码执行漏洞分析

      0x00 环境准备 iZhanCMS官网:http://www.izhancms.com 网站源码版本:爱站CMS(zend6.0) V2.1 程序源码下载:http://www.izhancms ...

  5. 【代码审计】CmsEasy&lowbar;v5&period;7 代码执行漏洞分析

      0x00 环境准备 CmsEasy官网:http://www.cmseasy.cn/ 网站源码版本:CmsEasy_v5.7_UTF8-0208 程序源码下载: http://ftp.cmseas ...

  6. &lbrack;转帖&rsqb;Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626)

    Windows DHCPServer远程代码执行漏洞分析(CVE-2019-0626) ADLab2019-03-15共23605人围观 ,发现 4 个不明物体安全报告漏洞 https://www.f ...

  7. 【代码审计】YUNUCMS&lowbar;v1&period;0&period;6 后台代码执行漏洞分析

      0x00 环境准备 QYKCMS官网:http://www.yunucms.com 网站源码版本:YUNUCMSv1.0.6 程序源码下载:http://www.yunucms.com/Downl ...

  8. 【代码审计】大米CMS&lowbar;V5&period;5&period;3 任意文件删除及代码执行漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

  9. 【代码审计】大米CMS&lowbar;V5&period;5&period;3 代码执行漏洞分析

      0x00 环境准备 大米CMS官网:http://www.damicms.com 网站源码版本:大米CMS_V5.5.3试用版(更新时间:2017-04-15) 程序源码下载:http://www ...

随机推荐

  1. HUD 5086 Revenge of Segment Tree(递推)

    http://acm.hdu.edu.cn/showproblem.php?pid=5086 题目大意: 给定一个序列,求这个序列的子序列的和,再求所有子序列总和,这些子序列是连续的.去题目给的第二组 ...

  2. 2016 - 1- 22 NSURLConnetction --- GET请求

    ---恢复内容开始--- 一: 给服务器发送一个简单的GET请求 1.同步 // 发送一个GET请求给服务器 // 0.请求路径 NSURL *url = [NSURL URLWithString:@ ...

  3. Python - 元组&lpar;tuple&rpar; 详解 及 代码

    元组(tuple) 详解 及 代码 本文地址: http://blog.csdn.net/caroline_wendy/article/details/17290967 元组是存放任意元素集合,不能修 ...

  4. 深入了解使用egret&period;WebSocket

    概念 本教程不讲解TCP/IP协议,Socket属于哪层,消息包体怎么设计等,主讲 egret.WebSocket 使用示例 与 protobuf 使用示例. 在使用egret.WebSocket之前 ...

  5. IntelliJ 15 unmapped spring configuration files found

    IntelliJ Spring Configuration Check 用IntelliJ 导入现有工程时,如果原来的工程中有spring,每次打开工程就会提示:Spring Configuratio ...

  6. 「征文」在 cordova 中使用极光统计服务

    写在前面:年前的时候,极光社区组织了一场征文活动 ,收到不少好的文章.现在打算和大家一起分享一下这些优秀的作品 :) 作者:Wilhan - 极光 原文:在 cordova 中使用极光统计服务 正文 ...

  7. &lbrack;补档&rsqb;Cube

    Cube 题目 给你一个n×m的棋盘,有一个1×1×2的长方体竖直放在(1,1)上,你可以将其在棋盘上滚动,你的目标是让其竖直放在(n,m)上,问至少需要多少次操作.(放倒.竖直.翻滚) INPUT ...

  8. mysql my&period;ini配置文件修改无效&comma;修改mysql默认字符集

    问题 开始于 使用mysql命令插入中文数据插不进去 ERROR 1366 (HY000): Incorrect string value: '\xD6\xD0\xCE\xC4' for column ...

  9. PowerShell 操作 Azure Blob Storage

    本文假设已经存在了一个 Azure Storage Account,需要进行文件的上传,下载,复制,删除等操作.为了方便查看 PowerShell 代码执行的结果,本文使用了 MS 发布的一个 Azu ...

  10. 【转】Zookeeper 安装和配置

    转自:http://coolxing.iteye.com/blog/1871009 Zookeeper的安装和配置十分简单, 既可以配置成单机模式, 也可以配置成集群模式. 下面将分别进行介绍. 单机 ...

相关文章