【代码审计】某JA网站内容管理系统模板注入漏洞

访客 234 0
本文来源:【代码审计】某JA网站内容管理系统模板注入漏洞

0x00前言

一直对模板注入漏洞懵懵懂懂,直到最近在某gayhub上瞎逛碰到一个cms,再一番操作之后找到了一个前台getshell的漏洞。由于相关要求,这里隐去这个cms的全称,就分享漏洞发掘的思路。

0x01 代码审计

我们全局搜索eval(可以发现有一个地方使用了eval,可以大胆猜测这个模板引擎是使用eval去实现。我们跟进ii_eval()函数。

【代码审计】某JA网站内容管理系统模板注入漏洞-第1张图片-网盾网络安全培训

可以见到函数的$strers可控,我们继续跟进ii_eval()看谁对他进行了调用。

【代码审计】某JA网站内容管理系统模板注入漏洞-第2张图片-网盾网络安全培训

全局搜索发现就只有一个地方对他进行了调用那就是ii_creplace()函数

【代码审计】某JA网站内容管理系统模板注入漏洞-第3张图片-网盾网络安全培训

我们跟进ii_creplace()可以看到,$strers可控但是他必须传入一个与({\$=(.[^\}]*)})这个正则匹配的字符串才能传入到iieval(),这里我们就可以得知要想执行代码必须符合类似下面的格式:

  1. {$=phpinfo()}

【代码审计】某JA网站内容管理系统模板注入漏洞-第4张图片-网盾网络安全培训

那么我们继续跟进ii_creplace()函数看谁对他进行了调用,找了很多但是都对函数中的$进行了转义,但是在passport\address\common\incfiles\manage_config.inc.php中的xxx_cms_admin_manage_list()并未做任何过滤。我们继续跟进。

【代码审计】某JA网站内容管理系统模板注入漏洞-第5张图片-网盾网络安全培训

我们发现\passport\address\manage.php对passport\address\common\incfiles\manage_config.inc.php进行了包含并调用了xx_cms_admin_manage_action(),而它调用了xx_cms_admin_manage_list(),那么很明显我们只需将符合{\$=(.[^\}]*)}正则的payload传入即可导致getshell.

【代码审计】某JA网站内容管理系统模板注入漏洞-第6张图片-网盾网络安全培训

那么从哪传入呢,我们直接把xxx_cms_admin_manage_list()中的sql语句打印出来即可知道。

【代码审计】某JA网站内容管理系统模板注入漏洞-第7张图片-网盾网络安全培训

【代码审计】某JA网站内容管理系统模板注入漏洞-第8张图片-网盾网络安全培训

很明显是从用户地址处传入。那么我们先注册个用户添加用户地址传入我们payload

  1. {$=phpinfo()}

【代码审计】某JA网站内容管理系统模板注入漏洞-第9张图片-网盾网络安全培训

再次刷新页面已经显示phpinfo,说明getshell成功。

【代码审计】某JA网站内容管理系统模板注入漏洞-第10张图片-网盾网络安全培训

0x02总结

其实纵观代码,这个cms的开发人员是有考虑过代码注入的问题,但是其对传入的内容并没有做全局过滤,而是每个点做过滤。这样难免会造成遗漏过滤的情况,当然这个cms的sql注入防护也是采取每个变量前套上一个转义函数,但是在后续的版本开发中难免也会有开发人员遗漏,这里不做深究了。

看完文章有没有想要自己尝试一下呢!登录合天网安实验室,get同款实验。或者点击阅读原文,了解相关说明。通过实验了解服务端模板注入漏洞的危害与利用。

Flask服务端模板注入漏洞:http://www.hetianlab.com/expc.do?ec=ECID87ed-2223-40e5-8083-f5c55d69af28

声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作者无关!


标签: 合天智汇

发表评论 (已有0条评论)

还木有评论哦,快来抢沙发吧~