initialize ——对某php后台管理系统的审计

100人浏览 2024-11-22 11:30:03

0x01 框架结构
0x02 Admin.php
  任意修改管理员用户名及密码
  SQL注入
0x03 Index.php 用户留言处存储型XSS
0x04 Controller.php
  任意增删改查数据表内容
  任意文件上传
0x05 一些XSS
 结语

0x01 框架结构

采用thinkphp5作为框架，版本为5.0.2，默认开启debug模式，数据库默认使用PDO连接

打了补丁，修复了RCE通用漏洞

如图，增加了白名单，不能任意调用其他方法进行利用

0x02 Admin.php

任意修改管理员用户名及密码

漏洞点：

admin/controller/Admin.php

_initialize()方法：在任何方法执行之前，都要执行此方法，包括_construct构造函数。

跟进一下父类的_initialize()方法

方法为空，无语住了

所以该方法相当于只获取了Session而没有进行判断，可以未授权调用管理员方法

接下来跟进一下doUpdate方法

可以看到$user_id和$data['username']都是通过用户输入获取而没有使用Session，字段都可控，并且存在sql注入

POC:

SQL注入

还是doUpdate方法

重点看这一条：

$is_have = Db::name('admin')->where("id != $user_id AND username = '".$data['username']."'")->value('id');

该sql语句直接将字符串进行拼接而没有使用PDO绑定，并且$user_id也没有用引号包裹

看下input方法

作用是从某个指定的来源中获取数据，但默认过滤器为空

回到之前，$user_id和$data['username']获取数据时都没有使用过滤器，所以两个字段都是注入点

POC:
懒得手注了，直接sqlmap一把梭

0x03 Index.php 用户留言处存储型XSS

漏洞点：
api/Index.php

可以看到$data没有进行过滤，也没有限制列名，但下面会将一些特定字段进行覆盖

可控的有id、username、telephone、acreage字段，但真正可利用的只有username和acreage

POC:

0x04 Controller.php

任意增删改查数据表内容

漏洞点：

admin/controller/Admin.php

admin/traits/controller/Controller.php

根据上文已经了解到Admin.php未进行鉴权，并且引入了一个公共控制器Controller.php，我们来跟进一下

先看下index方法

首先用$controller = $this->request->controller()获取当前请求的控制器名称，然后通过$m = model($controller)返回模型对象。后续的数据库操作是以模型对象来进行的，而数据库的表名默认是模型名，所以这两行代码可以理解为由哪个控制器调用就操作与哪个控制器同名的表。

跟进下search方法