MetInfo5.3.19代码审计思路
前言
最近在学习代码审计,就想着拿个CMS来练练手,然后选择了MetInfo5.3.19,来一次完整的代码审计,并把审计的思路都写下来。审计过程把可能存在漏洞但做了防护的地方也分析了,所以篇幅比较长。第一次写,可能不太好,有问题的地方还望大佬们指出。
审计过程
代码审计的大致过程就是先看看帮助文档,然后打开网站随便点点看url对应的文件目录(如果是MVC架构就要搞清楚路由方式);了解cms的传参过程和数据库操作过程;审计一些明显的交互点对应的代码(比如留言板,登录框);将Seay自动审计后的结果验证一下,虽然自动审计的误报率高,但是不容易漏,就是比较需要耐心。
准备工作
工具:phpstudy,phpstorm(安装xdebug插件),Seay源码审计系统,burpsuite,米拓cms帮助文档: https://doc.metinfo.cn/dev/basics/basics28.html
打开帮助文档看看里面的东西,比如文件结构、系统常量什么的,在里面可以注意到一个$_M,`$_M[form]`:提交的GET,POST,COOKIE表单数组。在系统中不要直接使用$_POST,$_GET,$_COOKIE,这些都是没有过滤的,`$_M[form]`中是已经安全过滤后的数组。通过这里可以知道传参都会经过过滤后保存在$_M里面
0×01 了解cms传参过程
先随便找一个有进行传参的地方,比如前台‘公司动态’的文章,通过url: http://127.0.0.1:8006/news/shownews.php?lang=cn&id=1 ,跟进对应的目录news/shownews.php
这里没有传参的函数,但是开头就包含了include/common.inc.php,继续跟进这个文件,发现里面就有段传参的代码
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value,0,0,1);
$_M['form'][$_key] = daddslashes($_value,0,0,1);
}
}
大概意思就是将$_GET,$_POST,$_COOKIE传入的参数进行键值分离,然后再将参数值经过daddslashes($_value,0,0,1)函数进行过滤,将过滤后的值赋值给$_M,可以确定这里就是处理传入参数的地方,然后新建一个1.php文件进行测试
在第一行下断点,通过1.php传参a=1’,然后跟进daddslashes()函数
这里可以看到有好几个文件都有定义daddslashes()函数,这时phpstorm的强大之处就体现出来了,用它的调试功能可以直接直接跟进定义这里的daddslashes()函数的文件
跟进到include/global.fun.php,部分代码如下
//daddslashes('a'',0,0,1)
function daddslashes($string, $force = 0,$metinfo,$url = 0) {
global $met_sqlinsert,$id,$class1,$class2,$class3;
!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
if(!MAGIC_QUOTES_GPC || $force) {
if(is_array($string)) {
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
//判断$string是否为数组,如果是,继续键值分离
} else {
$string = addslashes($string);
}
//如果不是,通过addslashes()函数进行转义
}
if(is_array($string)){
if($url){
$string='';
}else{
foreach($string as $key => $val) {
$string[$key] = daddslashes($val, $force);
}
//如果$string是数组,并且$url的值为1,将$string置空,$url不为0则进行键值分离
}
}else{
//如果$string不是数组,进行下面的替换(不区分大小写),从这里可以看出,sql注入就基本被过滤了
$string_old = $string;
$string = str_ireplace("\"","/",$string);
$string = str_ireplace("'","/",$string);
$string = str_ireplace("*","/",$string);
$string = str_ireplace("~","/",$string);
$string = str_ireplace("select", "\sel\ect", $string);
$string = str_ireplace("insert", "\ins\ert", $string);
$string = str_ireplace("update", "\up\date", $string);
$string = str_ireplace("delete", "\de\lete", $string);
$string = str_ireplace("union", "\un\ion", $string);
$string = str_ireplace("into", "\in\to", $string);
$string = str_ireplace("load_file", "\load\_\file", $string);
$string = str_ireplace("outfile", "\out\file", $string);
$string = str_ireplace("sleep", "\sle\ep", $string);
$string_html=$string;
$string = strip_tags($string);
//strip_tags()剥去字符串中的 HTML、XML 以及 PHP 的标签
if($string_html!=$string){
$string='';
//如果剥去了标签,那么该if语句成立,$string就会变为空,所以这里也基本过滤了xss和写入php文件
}
$string = str_replace("%", "\%", $string);
if(strlen($string_old)!=strlen($string)&&$met_sqlinsert){
$reurl="http://".$_SERVER["HTTP_HOST"];
echo(" alert('Submitted information is not legal!'); location.href='$reurl'; ");
die("Parameter Error!");
}
$string = trim($string);
}
0×02 了解数据库操作
还是看到news/shownews.php,在为$dbname赋值后就包含了/include/global/showmod.php,所以这文件里可能就有数据库操作语句
跟踪进去后发现通过get_one(‘sql语句’)进行数据库操作
跟进get_one()函数进入include/mysql_class.php,发现这是定义数据库操作方法的文件,增删改查都在这里
get_one()函数构造好sql语句后,就调用$this->query($sql,$type)方法
通过调试跟进可以看到$func=‘mysql_query’,然后执行了$query = $func($sql, $this->link),进行数据库操作
增删改也是跟查一样,构造好sql语句赋值给$sql,然后调用$this->query()方法进行数据库操作
0×03 漏洞分析
了解了cms的传参过程和数据库操作过程后,就可以着手分析哪有漏洞了,首先是看一些明显的用户交互处(比如留言板,登录框)对应的代码段,然后用Seay源码审计系统的自动审计,验证漏洞。由于从前面了解了传参的过滤方式,所以基本可以确定留言板和登录框是没有注入和xss的,而前台只有留言板这一个交互点,所以就把目光放到后台上。
0×04 管理员密码重置
后台登录界面有个‘忘记密码’,对应的文件是admin/admin/getpassword.php
直接找update语句,找到了两处更新管理员表的地方,并且都是在$action=‘next4’后
第一处
$abt_type的值可以通过post传参得到,所以很容易满足
从后往前推,update语句where的条件是admin_id=$cndes[2],而要执行update语句,要让
if($password=='')okinfo('javascript:history.back();',$lang_dataerror);
if($passwordsr!=$password)okinfo('javascript:history.back();',$lang_js6);
这两个if语句为假,即要传入不为空的$password和与$password相等的$passwordsr,这两通过post传入也很容易满足
然后就是if($codeok)成立,
$codeok = $db->get_one("SELECT * FROM $met_otherinfo WHERE authpass='$cnde' and lang='met_cnde'");
$codeok的值要通过查询met_otherinfo表,而条件为authpass=$cnde,但是看到met_otherinfo表发现authpass字段没有数据
所以猜想可能在前面会有将数据插入authpass字段的地方,往前搜索authpass找到了一段代码
在$action=next2且abt_type==1后
执行这段代码的前提是$smsok==‘SUCCESS’,而
$smsok=sendsms($admin_list['admin_mobile'],$message,5);
sendsms()为发送短信的方法,我没有开通发送短信,所以$authpass无法插入数据,那么if($codeok)就无法成立,后面的update语句也没法执行了,所以这一处没法绕过。
第二处
还是$action=next4后,但是abt_type的值不能为1
这里最关键的是if(!$p)die();$p要有值才能执行后面的update语句,传入$p后会对$p进行处理,处理的代码还是在该页面里
if($p){
$array = explode('.',authcode($p,'DECODE', $met_webkeys));
$array[0]=daddslashes($array[0]);
$sql="SELECT * FROM $met_admin_table WHERE admin_id='".$array[0]."'";
//从这sql语句可得$array[0]必须为要修改的密码对应的用户名
$sqlarray = $db->get_one($sql);
$passwords=$sqlarray[admin_pass];
$checkCode = md5($array[0].'+'.$passwords);
if($array[1]!=$checkCode){
okinfo('../admin/getpassword.php',$lang_dataerror);
}
if(!$action){
$action='next3';
$abt_type=2;
$nbers[1]=$sqlarray[admin_id];
}
}
还是从后往前推
if($array[1]!=$checkCode){
okinfo('../admin/getpassword.php',$lang_dataerror);
}
必须让$array[1]=$checkCode才能往下执行,$array为$p解密后经过explode()函数得来,explode(‘.’,authcode($p,’DECODE’, $met_webkeys))以‘.’作为分隔符将解密后的$p分割后组成数组。$checkCode = md5($array[0].’+’.$passwords),$passwords = $sqlarray[admin_pass];,$passwords为管理员表中用户名对应的密码的值。所以可以得出$array[1]的值必须为md5(用户名+密码),$array[0]的值为用户名,所以authcode($p,’DECODE’, $met_webkeys)的值为用户名.md5(用户名+密码)。所以如果能找到加密这个值并且能得到它的地方,那么就可以构造出满足条件的$p,达到任意修改密码的目的。
通过全局搜索发现还真有这地方
跟进后发现还是在getpassword.php这个文件下
执行的前提是$action=next2,$abt_type!=1,admin_mobile=存在的用户名
最后是将这串满足条件的加密值赋值给了$String,然后$mailurl的值又拼接了‘p=$String’
但是$mailurl最后出现的地方是在往下几十行的$body .=”
\n”;,
构造参数发送数据包后显示如下
$mailurl的值并没有输出出来
后来百度了后才知道还得GET传参met_host=公网ip,然后公网ip的主机监听80端口,并捕获该端口上的HTTP流量,才能得到$mailurl的值,就像这样
(此图来源百度)
但是找不到分析漏洞成因的文章,只有复现的文章,我也不知道为啥公网ip监听后就能得到这个$mailurl
0×05 后台cookie欺骗(不存在)
登录后台后发现有如下cookie
经测试后发现met_auth和met_key这两个值要都存在才能访问后台,少了任意一个都会跳转到登录界面,于是全局搜索看看这两个是哪来的
$met_key=met_rand(7);rand?嗯,打扰了…
0×06 后台文件上传(不存在)
在后台发布内容处发现有一个上传点
上传对应的数据包如下
url为/admin/index.php?c=uploadify&m=include&a=doupimg&lang=cn&data_key=undefined
这种url的传参有点像MVC架构的传参方式,url对应的文件为app/system/include/uploadify.class.php,方法名为doupimg()
如果不知道url对应的文件位置,就可以用phpstorm的调试一步步跟进,最后就能跟到对应文件位置
根据返回值来跟踪函数,这个函数返回的是$back,$back又是经过upimg()函数得来,所以继续跟进upimg()
跟进upload()
跟进upfile->upload()
public function upload($form = '') {
global $_M;
if($form){
foreach($_FILES as $key => $val){
if($form == $key){
$filear = $_FILES[$key];
}
}
}
if(!$filear){
foreach($_FILES as $key => $val){
$filear = $_FILES[$key];
break;
}
}
//是否能正常上传
if(!is_array($filear))$filear['error'] = 4;
if($filear['error'] != 0 ){
$errors = array(
0 => $_M['word']['upfileOver4'],
1 => $_M['word']['upfileOver'],
2 => $_M['word']['upfileOver1'],
3 => $_M['word']['upfileOver2'],
4 => $_M['word']['upfileOver3'],
6 => $_M['word']['upfileOver5'],
7 => $_M['word']['upfileOver5']
);
$error_info[]= $errors[$filear['error']] ? $errors[$filear['error']] : $errors[0];
return $this->error($errors[$filear['error']]);
}
//文件大小是否正确
if ($filear["size"] > $this->maxsize || $filear["size"] > $_M['config']['met_file_maxsize']*1048576) {
return $this->error("{$_M['word']['upfileFile']}".$filear["name"]." {$_M['word']['upfileMax']} {$_M['word']['upfileTip1']}");
}
//文件后缀是否为合法后缀
$this->getext($filear["name"]); //获取允许的后缀
if (strtolower($this->ext)=='php'||strtolower($this->ext)=='aspx'||strtolower($this->ext)=='asp'||strtolower($this->ext)=='jsp'||strtolower($this->ext)=='js'||strtolower($this->ext)=='asa') {
return $this->error($this->ext." {$_M['word']['upfileTip3']}");
}
if ($_M['config']['met_file_format']) {
if($_M['config']['met_file_format'] != "" && !in_array(strtolower($this->ext), explode('|',strtolower($_M['config']['met_file_format']))) && $filear){
return $this->error($this->ext." {$_M['word']['upfileTip3']}");
}
} else {
return $this->error($this->ext." {$_M['word']['upfileTip3']}");
}
if ($this->format) {
if ($this->format != "" && !in_array(strtolower($this->ext), explode('|',strtolower($this->format))) && $filear) {
return $this->error($this->ext." {$_M['word']['upfileTip3']}");
}
}
检测的关键代码如下
第一个if语句是黑名单检测,不允许有php,asp等文件名后缀
第二个if语句是白名单检测,文件名后缀只能是$_M[‘config’][‘met_file_format’]中的值,这些值为
都是不区分大小写,所以到这里就可以确定没有上传漏洞了,因为是本地搭建的网站,所以不考虑解析漏洞
0×07 自动审计
前面分析的都是一些明显的用户交互的界面,接下来就用自动审计继续找漏洞
自动审计结果又1000多条,所以得挑着看,比如前面分析过的传参的过滤,就可以不用看sql注入了
或者像这样虽然有危险函数eval(),但是函数里又不止一个变量,那么就很难控制eval()里面只有我们想执行的语句,所以也不看。如果eval()内只有一个变量,那么就可以去看看会不会有漏洞
0×08 X-FORWARDED-FOR头注入(不存在)
翻着翻着就发现了一处sql注入,但这是用$_SERVER接收参数的,前面分析的传参都是过滤了get,post,cookie,但没有过滤$_SERVER,所以可以看看这个地方
找到一处会记录客户端ip地址的地方,留言板,所以就在这里测试
改了x-forwarded-for头后,伪造的ip确实已经插入数据库
然后将x-forwarded-for改为192.168.1.1’ and 1=2 #,发包后调试跟踪
跟踪到include/common.inc.php文件下,发现还是有对ip做检测的
用了正则表达式检测ip,如果不是(1~3个数字)xxx.xxx.xxx.xxx这样的ip地址格式,那么就会把$_SERVER[‘REMOTE_ADDR’]的值赋值给$m_user_ip,百度后发现REMOTE_ADDR头是无法伪造的,所以这处x-forwarded-for头注入也就没有了。
0×09 后台文件写入
继续看自动审计,发现了一处可能有任意文件写入的地方
$results=explode('',$result);
$results是由$result经过explode()以‘’作为分隔符分割组成的数组,如果$result的值可控,那么就可以写入我们想写入的内容了,$result=curl_post($post,60);跟踪进入curl_post()函数,在include/export.func.php文件下
$result=curl_exec($curlHandle);但是这个curl是什么玩意咱也不知道,就去百度看看,大致了解了curl后得出的结论就是主要代码是这三句
curl_setopt($curlHandle,CURLOPT_URL,'http://'.$host.$file); curl_setopt($curlHandle,CURLOPT_RETURNTRANSFER,1); $result=curl_exec($curlHandle);
第一句是设置url为http://$host.$file而
$host=$met_host;
$file=$met_file;
$met_host和$met_file都是全局变量,那就试试能不能传参修改这两变量的值
调试后发现$met_host可以控制,$met_file不行,$met_file=/dl/standard.php
第二、三句是获取前面设置的url的页面内容,然后赋值给$result,所以只要在公网ip下创建一个dl文件夹,里面再创建一个standard.php,然后就会执行这个php文件,并将执行结果赋值给$result,接下来试验一下
我在虚拟机上创建了这个standard.php文件
然后将数据包的met_host改为虚拟机ip
发包,phpstorm下断
可以看到此时$result的值为111了
然后继续往下看,发现还有个检测$result值的地方
就是$result的开头必须是‘metinfo’,这个好搞
然后结合前面分析的$results的由来
$results=explode('',$result);file_put_contents('dlappfile.php',$results[1]);
用隔开,并且让$results[1]的值为一句话木马
这样就可以构造虚拟机下的standard.php的内容
metinfo<?php echo ''; ?>
然后发包,下断
可以看到$results[1]的值已经为一句话木马了
接着访问dlappfile.php文件,写入成功
0×10 后台文件删除
继续翻,翻到了一个地方unlink()函数下只有一个变量
于是打开看看
(这里unlink()这段代码原来是 @unlink ($f_filename);这样的,为了方便测试我就加上了个‘echo’)
追踪$f_filename,在这个文件下并没有发现给$_filename赋值的地方,那么就给它传个参数看看
成功传入,之前的分析的传参过滤并没有发现会过滤../ ,那么就可以做到任意文件删除了
接下来测试一下,在admin/app/physical/目录下创建一个1.txt,然后$f_filename传参‘1.txt’,结果成功删除
再在根目录下创建一个1.txt,$f_filename传参‘../../../1.txt’,还是成功删除
审计结束!
结语
目前的审计思路大概就是这样,随着以后的学习可能还会变化。这代码审计学了差不多有一个月了,给我的感受就是对漏洞的成因和防护有了更深的理解。比如以前只是知道sql注入的原因是对用户输入的参数没有进行严格检查,导致参数带入数据进行拼接,执行恶意的sql语句,然后看到?id=1就尝试注入,结果页面没什么反应我也不知道为什么,看了一些cms的传参过滤和数据库操作后,才知道网站对sql注入防御的完整过程。所以我觉得学好代码审计还是很有必要的。
*本文作者:阔诺dio哒,转载请注明来自FreeBuf.COM
About The Author
