概述
悟空软件长期为企业提供企业管理软件(CRM/HRM/OA/ERP等)的研发、实施、营销、咨询、培训、服务于一体的信息化服务。悟空软件以高科技为起点,以技术为核心、以完善的售后服务为后盾,秉承稳固与发展、求实与创新的精神,已为国内外上千家企业提供服务。
听说很厉害,搜索了下存在的旧版本漏洞,看看是否还存在这样的漏洞,旧漏洞如下:
按照已有的方向先排查一波。
安装
下载路径:
https://gitee.com/wukongcrm/crm_php
下载完包后,解压放到环境的根目录。
访问url:
www.wk.com/index.php/admin/install/index.html
点击同意,进行下一步安装。
安装完成,使用安装过程功的账号密码,登录到工作台。
sql注入
进入到管理操作区,找到项目管理,在所有请求中有一个myTask请求,
使用burpsuite抓取到改请求,发送到重放模块,接着修改构建传递的参数,第一个将url部分mytask修改成dateList,将body部分的{"search":"","sort_field":2,"completed_task":true,"owner_user_id":[],"time_type":"","label_id":[]}修改改成{"start_time":"123","stop_time":"12"} 此时点击一次go,看是否有正确相应。
接着,将请求保存到一个文本中,命名为post.txt。
接着上sqlmap跑一下这个请求包。
代码分析:
public function dateList()
{
$param = $this->param;
$taskModel = model('Task');
$userInfo = $this->userInfo;
$param['user_id'] = $userInfo['id'];
$data = $taskModel->getDateList($param);
return resultArray(['data' => $data]);
}此方法中的getDateList读取数据库,看方法逻辑:
public function getDateList($param)
{
$start_time = $param['start_time'];
$stop_time = $param['stop_time'];
$user_id = $param['user_id'];
// $date_list = dateList($start_time, $stop_time, 1);
$where = [];
$where['ishidden'] = 0;
$where['is_archive'] = 0;
$where['status'] = 1;
$where['pid'] = 0;
$str = ',' . $user_id . ',';
$whereStr = ' ( create_user_id = ' . $user_id . ' or ( owner_user_id like "%' . $str . '%") or ( main_user_id = ' . $user_id . ' ) )';
$whereDate = '( stop_time > 0 and stop_time between ' . $start_time . ' and ' . $stop_time . ' ) or ( update_time between ' . $start_time . ' and ' . $stop_time . ' )';
$list = db('task')
->where($where)
->where($whereStr)
->where($whereDate)
->field('task_id,name,priority,start_time,stop_time,priority,update_time')
->select();
return $list ?: [];
}
再此方法中接受的参数有start_time、stop_time、user_id三个参数,其实这三个参数都没有加过滤,直接字符串拼接。所以都存在SQL注入点,只不过sqlmap在start_time的时候,就跑出结果了,后面不验证罢了。需要提醒的是,再最新版本中,这个url需要构造出来,而不是点解控制台中哪个url。项目方把这个功能模块去掉了,但是代码并没有删除。简单验证如下图:
所以,前台的vue打包程序中,没有这个路由了。只能通过后期的构建,才能复现出这个漏洞。
任意文件上传
在平台所有文件上传点上,选取上传用户图像的功能点。
使用burpsuite抓包,如下:
将用户名和图片内容分别替换成php后缀的文件,和PHP代码如:此时返回的数据是错误的,不过没关系,文件已经生成了。如下图所示:
尝试了很多次,生的文件比较多。此时从浏览器上访问任意一个文件路径,效果如下:
当写入一句话的时候,也是可以用蚁剑连接的。
代码分析:通过抓包,访问的url/index.php/admin/users/updateImg可以看到该方法如下:
public function updateImg()
{
$fileModel = model('File');
$param = $this->param;
$userInfo = $this->userInfo;
//处理图片
header('Access-Control-Allow-Origin: *');
header('Access-Control-Allow-Methods: POST');
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept");
$param['file'] = request()->file('file');
$resImg = $fileModel->updateByField($param['file'], 'User', $param['id'], 'img', 'thumb_img', 150, 150);
if (!$resImg) {
return resultArray(['error' => $fileModel->getError()]);
}
return resultArray(['data' => '上传成功']);
}在方法里,有个updateByField的方法,这个是上传文件的调用,方法体如下:
public function updateByField($file, $module, $module_id, $field, $thumb_field = '', $x = '150', $y = '150')
{
if (empty($module) || empty($module_id) || empty($field)) {
$this->error = '参数错误';
return false;
}
$info = $file->move(FILE_PATH . 'public' . DS . 'uploads'); //验证规则
$fileInfo = $info->getInfo(); //附件数据在这个方法中,有个文件管理类file,其中的move方法做了文件的上传操作,如下:
public function move($path, $savename = true, $replace = true)
{
// 文件上传失败,捕获错误代码
if (!empty($this->info['error'])) {
$this->error($this->info['error']);
return false;
}
// 检测合法性
if (!$this->isValid()) {
$this->error = 'upload illegal files';
return false;
}
// 验证上传
if (!$this->check()) {
return false;
}
$path = rtrim($path, DS) . DS;
// 文件保存命名规则
$saveName = $this->buildSaveName($savename);
$filename = $path . $saveName;
// 检测目录
if (false === $this->checkPath(dirname($filename))) {
return false;
}
// 不覆盖同名文件
if (!$replace && is_file($filename)) {
$this->error = ['has the same filename: {:filename}', ['filename' => $filename]];
return false;
}
/* 移动文件 */
if ($this->isTest) {
rename($this->filename, $filename);
} elseif (!move_uploaded_file($this->filename, $filename)) {
$this->error = 'upload write error';
return false;
}
// 返回 File 对象实例
$file = new self($filename);
$file->setSaveName($saveName)->setUploadInfo($this->info);
return $file;
}到此,方法体中的move_uploaded_file算是保存完了构建的PHP文件,需要注意的是,这里的命名规则,代码里用了时间的随机数,
switch ($this->rule) {
case 'date':
$savename = date('Ymd') . DS . md5(microtime(true));
break;也就是说,前端可以猜到具体的文件夹,但是具体的文件名,需要后期做个碰撞的脚本,才可以获取到。因为是白盒审计,这一步就暂时省略掉了。
总结
老版本种存在的问题,最新版本也是存在的,只不过需要后期数据的加工,没有之前版本来的那么容易。所以做程序要用心,做安全更是如此。
E
N
D
关
于
我
们
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。
原文始发于微信公众号(Tide安全团队):悟空crm漏洞新用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论