0x00 环境准备
XYHCMS官网:http://www.xyhcms.com/
网站源码版本:XYHCMS V3.5(2017-12-04 更新)
程序源码下载:http://www.xyhcms.com/Show/download/id/2/at/0.html
测试网站首页:
0x01 代码分析
1、漏洞文件位置:/App/Manage/Controller/TempletsController.class.php 第59-83行:
1. public function edit() {
2. $ftype = I('ftype', 0, 'intval');
3. $fname = I('fname', '', 'trim,htmlspecialchars');
4. $file_path = !$ftype ? './Public/Home/' . C('CFG_THEMESTYLE') . '/' : './Public/Mobile/' . C('CFG_MOBILE_THEMESTYLE') . '/';
5. if (IS_POST) {
6. if (empty($fname)) {
7. $this->error('未指定文件名');
8. }
9. $_ext = '.' . pathinfo($fname, PATHINFO_EXTENSION);
10. 10. $_cfg_ext = C('TMPL_TEMPLATE_SUFFIX');
11. 11. if ($_ext != $_cfg_ext) {
12. 12. $this->error('文件后缀必须为"' . $_cfg_ext . '"');
13. 13. }
14. 14.
15. 15. $content = I('content', '', '');
16. 16. $fname = ltrim($fname, './');
17. 17. $truefile = $file_path . $fname;
18. 18. if (false !== file_put_contents($truefile, $content)) {
19. 19. $this->success('保存成功', U('index', array('ftype' => $ftype)));
20. 20. } else {
21. 21. $this->error('保存文件失败,请重试');
22. 22. }
23. 23.
24. 24. exit();
25. 25. }
26. 26.
这段函数中对提交的参数进行处理,然后判断是否POST数据上来,如果有就进行保存等,如果没有POST数据,将跳过这段代码继续向下执行。我们继续往下看:
1. $fname = base64_decode($fname);
2. if (empty($fname)) {
3. $this->error('未指定要编辑的文件');
4. }
5. $truefile = $file_path . $fname;
6.
7. if (!file_exists($truefile)) {
8. $this->error('文件不存在');
9. }
10. 10. $content = file_get_contents($truefile);
11. 11. if ($content === false) {
12. 12. $this->error('读取文件失败');
13. 13. }
14. 14. $content = htmlspecialchars($content);
15. 15.
16. 16. $this->assign('ftype', $ftype);
17. 17. $this->assign('fname', $fname);
18. 18. $this->assign('content', $content);
19. 19. $this->assign('type', '修改模板');
20. 20. $this->display();
我们可以通过GET传入fname,跳过前面的保存文件过程,进入文件读取状态。
注意看红色部分代码,问题就出在这里。对fname进行base64解码,判断fname参数是否为空,拼接成完整的文件路径,然后判断这个文件是否存在,读取文件内容。对fname未进行任何限制,导致程序在实现上存在任意文件读取漏洞,可以读取网站任意文件,攻击者可利用该漏洞获取敏感信息。我们可以通过GET方式提交fname参数,并且将fname进行base64编码,构造成完整的路径,读取配置文件信息。
0x02 漏洞利用
1、登录网站后台,数据库配置文件路径:\\App\\Common\\Conf\\db.php
我们将这段组成相对路径,..\\..\\..\\App\\Common\\Conf\\db.php,然后进行base64编码,Li5cXC4uXFwuLlxcQXBwXFxDb21tb25cXENvbmZcXGRiLnBocA==
最后构造的链接形式如下:
通过url访问,成功获取到数据库敏感信息:
0x03 修复建议
1、取消base64解码,过滤.(点)等可能的恶意字符
2、正则判断用户输入的参数的格式,看输入的格式是否合法:这个方法的匹配最为准确和细致,但是有很大难度,需要大量时间配置规则。
最后
欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。