PHP审计之WeEngine审计

PHP审计之WeEngine审计前言审计该CMS加深一下对于MVC架构的php审计流程梳理路由打开代码看到index.php文件if($_W['os']=='mo

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

PHP审计之WeEngine审计

前言

审计该CMS加深一下对于MVC架构的php审计流程

梳理路由

打开代码看到index.php文件

if($_W['os'] == 'mobile' && (!empty($_GPC['i']) || !empty($_SERVER['QUERY_STRING']))) {
	header('Location: ./app/index.php?' . $_SERVER['QUERY_STRING']);
} else {
	header('Location: ./web/index.php?' . $_SERVER['QUERY_STRING']);
}

web端会跳转到/web/index.php,来看到web/index.php

if (($_W['setting']['copyright']['status'] == 1) && empty($_W['isfounder']) && $controller != 'cloud' && $controller != 'utility' && $controller != 'account') {
	$_W['siteclose'] = true;
	if ($controller == 'account' && $action == 'welcome') {
		template('account/welcome');
		exit;
	}
	if ($controller == 'user' && $action == 'login') {
		if (checksubmit()) {
			require _forward($controller, $action);
		}
		template('user/login');
		exit;
	}
	isetcookie('__session', '', -10000);
	message('站点已关闭,关闭原因:' . $_W['setting']['copyright']['reason'], url('account/welcome'), 'info');
}

这里$controller$action接收是从bootstrap.inc.php

$controller = $_GPC['c'];
$action = $_GPC['a'];
$do = $_GPC['do'];

上面接收$controller$actionaccountwelcome

调用template('account/welcome');

function template($filename, $flag = TEMPLATE_DISPLAY) {
	global $_W;
	$source = IA_ROOT . "/web/themes/{$_W['template']}/{$filename}.html";
	$compile = IA_ROOT . "/data/tpl/web/{$_W['template']}/{$filename}.tpl.php";
	if(!is_file($source)) {
		$source = IA_ROOT . "/web/themes/default/{$filename}.html";
		$compile = IA_ROOT . "/data/tpl/web/default/{$filename}.tpl.php";
	}
    ...

这段代码实际上就是加载一个模板渲染。

继续往下看

$controllers = array();
$handle = opendir(IA_ROOT . '/web/source/');
if(!empty($handle)) {
	while($dir = readdir($handle)) {
		if($dir != '.' && $dir != '..') {
			$controllers[] = $dir;
		}
	}
}
if(!in_array($controller, $controllers)) {
	$controller = 'account';
}
$init = IA_ROOT . "/web/source/{$controller}/__init.php";
if(is_file($init)) {
	require $init;
}

$actions = array();
$handle = opendir(IA_ROOT . '/web/source/' . $controller);
if(!empty($handle)) {
	while($dir = readdir($handle)) {
		if($dir != '.' && $dir != '..' && strexists($dir, '.ctrl.php')) {
			$dir = str_replace('.ctrl.php', '', $dir);
			$actions[] = $dir;
		}
	}
}
if(empty($actions)) {
	header('location: ?refresh');
}
if(!in_array($action, $actions)) {
	$action = $acl[$controller]['default'];
}
if(!in_array($action, $actions)) {
	$action = $actions[0];
}

遍历读取/web/source/,所有内容。

遍历读取/web/source/' . $controller,并且把内容中的.ctrl.php去掉。

if(is_array($acl[$controller]['direct']) && in_array($action, $acl[$controller]['direct'])) {
		require _forward($controller, $action);
	exit;

判断是否为数组并且判断$acl[$controller]['direct'],并且查看$action是否在$acl截取对应$controllerdirect

逻辑其实就是$acl中定义了大量的数组,如

'account' => array(
		'default' => 'welcome',
		'direct' => array(
			'welcome',
			'auth'
		)

$controller=account

direct=array(‘welcome’,’auth’)

direct这个数组对应的是account下面的路由

访问welcome的路由的访问策略即

/web/index.php?c=account&a=welcome

漏洞审计

定位到漏洞位置web/source/site/category.ctrl.php

定位到176行

if (!empty($navs)) {
		foreach ($navs as $row) {
			file_delete($row['icon']);
		}
		pdo_query("DELETE FROM ".tablename('site_nav')." WHERE id IN (".implode(',', array_keys($navs)).")");
	}

file_delete($row['icon']);,这里的$row['icon']是通过遍历$navs

$navs是通过一下这个sql语句查询得来的

$navs = pdo_fetchall("SELECT icon, id FROM ".tablename('site_nav')." WHERE id IN (SELECT nid FROM ".tablename('site_category')." WHERE id = {$id} OR parentid = '$id')", array(), 'id');

找看数据库中的这两个字段是否可控

site_nav数据库表中对应的数据是$nav变量内容,发现 $nav['icon'] 变量是从$_GPC['iconfile']来的,即参数可控。这里的 $nav['icon']变量,其实就是我们文章开头分析的传入 file_delete函数的参数

			if(!empty($nav_exist)) {
				pdo_update('site_nav', $nav, array('id' => $category['nid'], 'uniacid' => $_W['uniacid']));
			} else {
				pdo_insert('site_nav', $nav);

这里需要先把文件名插入到数据库中,然后调用该功能将文件上传,代码会从数据库从查找该文件名,然后删除对应文件。

参考

https://github.com/hongriSec/PHP-Audit-Labs/tree/master/Part1/Day6/files

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119836.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Linux内核开发_1_编译LInux内核

    Linux内核开发_1_编译LInux内核1.准备工作1.1学习环境本系列教程使用的环境如下:操作系统版本:Linuxubuntu18.04Linux内核版本:cat/proc/versionLinuxversion4.15.0-20-generic(buildd@lgw01-amd64-039)\(gccversion7.3.0(Ubuntu7.3.0-16ubuntu3))#21-UbuntuSMPTueApr2406:16:15UTC2018…

  • 计算机发展史_计算机发展史感悟

    计算机发展史_计算机发展史感悟转载地址:https://www.jianshu.com/p/6fb655c286bc一、史前时代【1623——1895】1623年:德国科学家契克卡德(W.Schickard)制造了人类有史以来第一台机械计算机,这台机器能够进行六位数的加减乘除运算。1642年:法国科学家帕斯卡(B.Pascal)发明了著名的帕斯卡机械计算机,首次确立了计算机器的概念。…

    2022年10月19日
  • 页面中插入百度地图(使用百度地图API)

    页面中插入百度地图(使用百度地图API)

  • oracle创建数据库文件时出错_oracle错误代码大全

    oracle创建数据库文件时出错_oracle错误代码大全一、创建数据库时报必须运行Netca以配置监听程序,然后才能继续。     解决方法:     1、停止Oracle该服务;    2、用系统管理员身份运行netmanager删除监听程序;    3、用netconfigurationassistant添加监听程序;    4、用系统管理员身份运行databaseconf…

  • ubuntu下deb包安装方法_ubuntu安装下载文件

    ubuntu下deb包安装方法_ubuntu安装下载文件deb包是Debian,Ubuntu等Linux发行版的软件安装包,扩展名为.deb,是类似于rpm的软件包,Debian,Ubuntu系统不推荐使用deb软件包,因为要解决软件包依赖问题,安装也比较麻烦。如果Ubuntu要安装新软件,已有deb安装包(例如:linuxidc.deb),但是无法登录到桌面环境。那该怎么安装?答案是:使用dpkg命令。dpkg是Debianlinuxidc的简写,是为Debian专门开发的套件管理系统,方便软件的安装、更新及移除。所有源自Debian的Linux发行

    2022年10月20日
  • python图像多层小波分解_Python中图像小波分解与重构以及灰度图加噪

    python图像多层小波分解_Python中图像小波分解与重构以及灰度图加噪Python中图像小波分解与重构以及灰度图加噪Python中图像小波分解与重构以及灰度图加噪最近需要做小波分解相关的东西,博客这里做一个简单的记录灰度图的小波分解与重构:fromPILimportImageimportmatplotlib.pyplotaspltfrommatplotlib.pyplotimportimshowimportnumpyasnp#小波库impo…

    2022年10月21日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号