代码审计:covercms 1.6
小菜只能找找没人用的cms练练手了
cnvd上有个 CoverCMS V1.16存在多个漏洞
漏洞描述 :CoverCMS V1.16存在重装、信息泄露、暴力破解、存储型跨站脚本和反射型跨站脚本漏洞。攻击者可利用漏洞获取敏感信息,如数据库账号密码、数据库名泄露、后台默认弱口令;在用户投稿文章页面中插入恶意js代码,可获得用户cookie等信息,导致用户被劫持;在前台搜索框处构造XSS语句,可进行弹框操作,获得用户cookie等信息。
简单安装完后看看代码吧。
重装漏洞
安装完后会在/dynamic/下生产install.lock
install.php
$lockfile = './dynamic/install.lock';
$step = $_POST['step'] ? $_POST['step'] : ($_GET['step'] ? $_GET['step'] : 1);
.../省略
if(!isset($dbhost) || !isset($ckpre)){
$ierror = lang('base.inc.php noexist , please upload .');
}elseif(!ini_get('short_open_tag')){
$ierror = lang('shorttaginvalid');
}elseif(file_exists($lockfile)){
$ierror = lang('lockexist');
}elseif(!class_exists('cls_mysql')){
$ierror = lang('include/mysql.cls.php noexist , please upload .');
}
安装时会进行判断是否存在install.lock
如果存在会进行提示,但是没有exit()
我们再次访问http://localhost/covercms/install.php
发现开始安装的按钮无法点击。
if($step == 1){
ins_header(1);
echo "<div class=\"licence\">".lang('ins_introduce')."</div>";
ins_mider();
hidden_str('step',2);
button_str('submit',lang('start install'),$ierror ? 1 : 0);
ins_footer(1);
$ierror && ins_message($ierror);
}elseif($step == '2'){
ins_header(1);
echo "<div class=\"licence\">".lang('ins_license')."</div>";
ins_mider();
hidden_str('step',3);
button_str('submit',lang('agree'),$ierror ? 1 : 0);
ins_footer(1);
$ierror && ins_message($ierror);
.../省略
button_str函数会根据$ierror在html标签添加 disabled=""
F12删掉 或直接http://localhost/covercms/install.php?step=2
就可以跳步骤了
虽然能看到 数据库账号密码、数据库名泄露、后台默认弱口令
但还是重装不了啊...
前台搜索xss
search.php
if($searchword){
$filterstr .= ($filterstr ? '&' : '').'searchword='.rawurlencode(stripslashes($searchword));
}
对搜索词根本没过滤
闭合前后标签即可
"> <script>alert(/xss/)</script> <"
在用户投稿文章页面中插入恶意js代码
没找到 先留着
任意文件包含漏洞 (多处)
搜索带include和$的 可能存在漏洞
带后缀的就不看了
answers.inc.php
if(!submitcheck('barcsedit')){ //满足barcsedit为空 不设置即可
if(empty($u_tplname)){
//$u_tplname 可以变量覆盖(general.inc.php中伪全局 在admina中引用)
echo form_str($actionid.'arcsedit',"?entry=answers&action=answersedit&page=$page$param_suffix");
//搜索区块
tabheader_e();
....//省略
}else include(M_ROOT.$u_tplname);
....//省略
.inc.php的文件会在admina.php中引用
include_once M_ROOT.'./admina/'.$entry.'.inc.php';
构造url http://localhost/covercms/admina.php?entry=answers&action=answersedit&u_tplname=robots.txt
其他include $u_tplname的与之类似