PHP代码审计 --MVC模型开发框架&rce示例

MVC模型开发框架

控制器Controller:负责响应用户请求、准备数据,及决定如何展示数据

模块Model:管理业务逻辑和数据库逻辑,提供链接和操作数据库的抽象层

视图View:负责前端模板渲染数据,通过html呈现给用户

MVC模型对代码审计的影响:

1、文件代码定位问题

2、代码过滤分析问题

3、前端安全发现问题

示例cms:http://www.lmxcms.com/file/d/down/xitong/20210628/202106281714266126.zip

入口文件:

define('LMXCMS',TRUE):定义常量LMXCMS并赋值为TRUE

inc/run.inc.php文件就是路由文件

可以看见requireClassName函数接收值,转化路径

梦想cmsV1.4.1 RCE 命令执行

源码下载:http://www.lmxcms.com/file/d/down/xitong/20210628/202106281714266126.zip

搜索eval敏感关键词

可以看见,这个文件内的eval中间有变量

$temdata['data']

而 t e m d a t a = temdata= temdata=this->model->caijiDataOne($_GET['cid']);

其中又调用了cj_data_tab()和oneModel()方法

其中oneModel又调用了oneDB方法

先构造url访问改代码处

http://127.0.0.1:8086/admin.php?m=Acquisi\&a=showCjData

加入调试代码寻找问题

class/db.class.php

c/admin/AcquisiAction.class.php

构造url:http://127.0.0.1:8086/admin.php?m=Acquisi\&a=showCjData\&lid=1\&id=1\&uid=1\&cid=1

访问

发现$temdata变量为空数组,只要使得该变量的data键的值为恶意代码即可

所以直接在数据库添加phpinfo在data字段

insert into lmx_cj_data (lid,data,uid,url,time,is_in) values ('1','phpinfo()','1','1','1','1');

再访问url:http://127.0.0.1:8086/admin.php?m=Acquisi\&a=showCjData\&lid=1\&id=1\&uid=1\&cid=1

rce执行成功

百家cms V4.1.4 RCE 代码执行

搜索system(

发现只有最后一个可能存在代码执行漏洞

来到首页,登录后进入备份与还原

http://127.0.0.1:8087/index.php?mod=site\&act=manager\&do=database\&beid=1

直接搜索manager

查看第一个文件system/manager/web.php 在该文件中找到do_database()方法,database也在url当中

那么猜测它就是对应url代码文件

添加测试代码

果然,猜测成功

那么url构造不必担心了

继续看代码执行的地方代码

php 复制代码
system('convert'.$quality_command.' '.$file_full_path.' '.$file_full_path);

其中 q u a l i t y c o m m a n d = ′ − q u a l i t y ′ . i n t v a l ( quality_command=' -quality '.intval( qualitycommand=′−quality′.intval(scal); 由于intval的存在,所以这个变量放弃

$file_full_path来自于实参

找到url路径,发现这个文件路径存在于includes文件夹内,无法直接访问

includes/baijiacms/setting.inc.php

寻找包含了这个文件的文件

发现只有baijiacms.php调用过

includes/baijiacms.php

可是也是include文件夹内的文件,那么寻找调用了baijiacms.php的文件

寻找调用了file_save的地方

system/weixin/class/web/setting.php 文件存在调用

构造url

http://127.0.0.1:8087/index.php?mod=site\&act=weixin\&do=setting

访问看看

代码添加调试代码,其中WEB_ROOT."/".$file['name']是关乎system函数内的可控变量

成功

查看想要执行到system的条件

要使得$settings['image_compress_openscale'])存在即可,

$settings=globaSystemSetting();

echo一下$settings 发现根本没有image_compress_openscale这个键

搜索image_compress_openscale找到设置settings['image_compress_openscale']的地方

在system/manager/template/web/netattach.php文件

构造url访问

http://127.0.0.1:8087/index.php?mod=site\&act=manager\&do=netattach

更改为开启

再发送刚刚的包

发现终于满足了存在的条件

添加echo调试代码

再次发包

将filename参数更改为xxx&dir&.txt或xxx;dir;.txt

&是可以执行多条命令的联合符号(可以使用与linux和windows)

;也是可以执行多条命令的联合符号(只可以使用与linux)

相关推荐
nbsaas-boot1 小时前
Java 正则表达式白皮书:语法详解、工程实践与常用表达式库
开发语言·python·mysql
chao_7891 小时前
二分查找篇——搜索旋转排序数组【LeetCode】两次二分查找
开发语言·数据结构·python·算法·leetcode
风无雨2 小时前
GO 启动 简单服务
开发语言·后端·golang
斯普信专业组2 小时前
Go语言包管理完全指南:从基础到最佳实践
开发语言·后端·golang
我是苏苏4 小时前
C#基础:Winform桌面开发中窗体之间的数据传递
开发语言·c#
小红卒4 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
斐波娜娜4 小时前
Maven详解
java·开发语言·maven
小码氓4 小时前
Java填充Word模板
java·开发语言·spring·word
暮鹤筠5 小时前
[C语言初阶]操作符
c语言·开发语言
OKUNP6 小时前
Docker高级管理--容器通信技术与数据持久化
docker·容器·php