SE版的前台sql注入漏洞。
此漏洞仅仅影响 骑士CMS人才系统SE版
在 /application/index/controller/jobfairol.php 中存在如下方法
注意此处的 keyword。存在两次 url 解码,可以绕过很多的 waf,或者预处理。
先join 里一个数据表,然后添加排序,并指定分页后,调用 column() 方法。
这个方法也就是获取 sql查询某个列的数组。
并在该断点处,执行sql语句。
查看一下我们实际执行的sql语句。
我利用 union select 来达到时间盲注的效果。
payload:
如果开启了报错的情况可以报错注入。
在v1_0/controller/home/jobfairol.php 也存在相同的方法。
基础版的前台RCE漏洞
基础版是通过 TP3.2.3 开发的,这个版本在应用初始化的时候,如果 APP_DEBUG 为false。
会将整个框架整合进 Application/Runtime/``common~runtime.php 文件中,后续的执行都在这个74kb,且只有一行代码的文件中。
强烈建议在个人调试的时候
将这里改成true。
在Application/Common/Controller/BaseController.class.php 中
有这样一个方法。
Common应用里的控制器一般都是被当作基类存在的,无法直接通过 ?m=Common 直接去访问控制器里的方法。
但是他作为其他控制器的基类,而且又是 public 方法,我们依然可以调用他。
这几行不知道看官们熟不熟悉。
其实这个漏洞,可以追溯到某实验室发的漏洞通报
这是他们给出的漏洞样例。
其实大同小异,只不过fetch 只是获取输出页面的内容,但并不会显示出来。所以在这个cms中,如果可以rce,那也只是一个无回显的RCE。
简单概括他们的分析,就是将payload写进日志里,然后利用变量覆盖,造成任意文件包含,包含日志文件。
先发送恶意数据包
在 /data/Runtime/Logs/Common/ 中写入日志文件
然后构造payload去包含日志文件。
一开始并没有想到这个漏洞,我跟进了fetch 方法。
这里如果文件存在会直接返回,这显然是不合理的,在我们可以控制文件名的情况下。
这里的 loadTemplate 方法其实就是将文件中的内容获取出来然后写入模板缓存文件中,并返回缓存文件名。
然后变量覆盖,文件包含。
在我没有想到变量覆盖 _filename 的时候 ,我的思路很单纯,分析到这里想必都明白了。就是上传一个恶意文件,获取文件名赋给$tpl,最后tp解析模板后自动包含。
但后续也是遇到一些情况,比如前台的图片上传时会被二次渲染,恶意代码被和谐。又或者图片文件中存在一些可以被解析的标签,最后替换为不规则的php语法。
不过后来我用 png图片的二次渲染绕过了这个问题。
当在修改简历处上传文件时,后面存在一个ajax请求,获取我们的图片,这样就暴露了图片的存储位置。
下面是缓存的图片文件。
这里的变量覆盖,可能因为先前某cms的前台rce的原因,我还是想找模板文件中存在的问题,但在这里,显然是走远了。
写在后面
tp3.2.x 的渲染模板处暴露出的两个显然存在的问题,一个变量覆盖造成的任意文件包含。需要有
作为前提。
另一个 is_file 判断后直接返回文件名,不考虑是否是模板文件。仅仅需要如下语句
配合文件上传就可以完成攻击。
关注私我,获取【网络安全学习攻略】
