Gxlcms 小说系统,是目前站长应用较多的一个CMS系统,PHP语言开发, mysql数据库架构,性能强大,在网站优化方面做的还是比较不错的,前端时间某 一客户网站被黑,导致网站被跳转到赌博网站上去,委托我们对网站进行详细的网 站安全检测,以及代码安全审计。
Gxlcms 采用的是thinkphp的一个开放性架构,之前我们也对thinkphp的代码进行 安全检测过,所以这次的网站安全检测相对比较容易一些,但还是要仔细的对每个 代码,每个文件进行详细的安全检测。我们现在下载客户的网站程序源码,先大体 的审查一些整个网站的功能,看下网站的留言板功能,文件上传、评论、会员注册 等比较重要的一些功能页面,然后再去针对特定功能进行网站的安全检测,这样整 体的安全检测效率会更高一些。 我们直接定位吧,少走些弯路,在前端页面SearchAction.class.php里发现了漏洞 ,如下图所示:
可以看到以上的函数strip_tags和htmlspecialchars,一个是html标签的安全过滤 ,一个是HTML注入过滤。这里想讲的是因为我这里测试的是注入,不是xss,因此 这些过滤条件好像无关紧要,但是tp框架自带的单引号转义,我们要绕过去。Sine 安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复, 渗透测试,安全服务于一体的网络安全服务提供商。
然后发现这个函数还调用了评论,那么我们抓包来评论一下,通过抓包修改参数,
我们发现是一个盲注,我们可以直接获取管理员的密码。
在进行详细的网站安全检测时,我们在网站后台发现了getshell漏洞。
在网站后台的附件设置里,直接可以更改上传文件的类型,但是当我加上一个php 后,竟然没了,仿佛就是preg_replace搞得鬼,然后去源码看了下,才发现了一个 网站漏洞,Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、 网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。
$upload_class = str_replace(array("php", "asp", "apsx", "txt", "asax", "ascx", "cdx", "cer", "cgi", "jsp", "html", "html", "htm", ",,"), "", strtolower(C("upload_class")));1$upload_class = str_replace(array("php", "asp", "apsx", "txt", "asax", "ascx", "cdx", "cer", "cgi", "jsp", "html", "html", "htm", ",,"), "", strtolower(C("upload_class"))); 将这些字符串进行替换处理,多少次注入绕过,漏洞代码就是这么写的。
这里我添加的是pphphp,由于会替换php为空,这里会将中间的第一个php删掉,最 后留下php,即可以上传php大马并获取网站的权限。
还没有评论,来说两句吧...