CTF导航 CTF导航

YzmCMS代码审计

渗透技巧 12个月前 admin
350 0 0

免责声明

由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!

0x01 通读

index.php

YzmCMS代码审计

里面有很多的define,用这个代码运行下

foreach(get_defined_constants(true)['user'] as $k=>$v){    echo $k.'---'.$v."rn";}
APP_DEBUG--- URL_MODEL---3 YZMPHP_PATH---x:cmsyzmcms-master IN_YZMPHP---1 YP_PATH---x:cmsyzmcms-masteryzmphp YZMPHP_VERSION---2.7 APP_PATH---x:cmsyzmcms-masterapplication SYS_START_TIME---1652515504.1375 SYS_TIME---1652515504 SERVER_PORT---http:// HTTP_HOST---xhcms.cc HTTP_REFERER--- EXT---.class.php IS_CGI---1 PHP_FILE---/index.php SITE_PATH---/ SITE_URL---http://xhcms.cc/ STATIC_URL---http://xhcms.cc/common/static/ MAGIC_QUOTES_GPC--- YZMCMS_VERSION---V6.3 YZMCMS_UPDATE---20220110 YZMCMS_SOFTNAME---YzmCMS内容管理系统 ROUTE_M---index ROUTE_C---index ROUTE_A---init

21行有个requirerequire==x:cmsyzmcms-master,实际上是包含了当前目录下的/yzmphp/yzmphp.php文件

跟进文件

yzmphp.php

YzmCMS代码审计

33行调用了yzm_base下的load_sys_func()方法,跟进这个类,PHPstorm中按住ctrl+鼠标左键进行跟踪

YzmCMS代码审计

YzmCMS代码审计

这里进行了文件包含操作,实际上包含的是yzmphp/core/function/global.func.php

YzmCMS代码审计

整体上看一下,只是定义了方法。回到yzmphp.php

YzmCMS代码审计

这里是判断是否开启GPC,开启则定义MAGIC_QUOTES_GPCTrue,否则为False,上面输出的常量中也写出为1。

70-72行中调用了load_common方法,跟进下

YzmCMS代码审计

YzmCMS代码审计

这里也是文件包含,看一下传入的三个不同的参数文件内都是什么

YzmCMS代码审计

version.php文件只是定义了常量,extention.func.php文件什么也没做,system.func.php中定义了一些方法。继续跟进yzmphp.php,yzmphp.php在后面定义完类之后就没有任何操作

回到index.php

YzmCMS代码审计

这里有个创建应用的方法,跟进下

YzmCMS代码审计

传值进入load_sys_class静态方法中,然后再传入_load_class静态方法中,在load_sys_class方法中设置$initialize的值为1,跟进下该方法

YzmCMS代码审计

因为起初传递的$path为空,进入104行,此时$pathx/cms/yzmphp/core/class,然后115行进行了文件包含,EXT.class.php,即包含了/yzmphp/core/class/application.class.php,然后进入到117行,实例化了applocation类并且赋值给$classes静态变量中,121行将application返回

application.class.php

跟进application.class.php

YzmCMS代码审计

因为实例化了application类,会自动调用__construct构造方法,主要看第20行,前面是debug的,这里给load_sys_class传入了param参数,在上面已经跟进过load_sys_class静态方法了,实际上这里是包含的/yzmphp/core/class/param.class.php。OK,跟进下,在这里打个断点

param.class.php

YzmCMS代码审计

这里标记了个C方法,跟进下,跟读遇到没见过的就跟进

/yzmphp/core/function/global.func.php

YzmCMS代码审计

这里有个$path,此时的值为/common/config/config.php,跟进下

YzmCMS代码审计

这里都是配置信息

回到param.class.php

YzmCMS代码审计

这里有个路由设置,default在/common/config/config.php出现过,这部分是定义路由。第19行Cfalse,看到20行有个pathinfo_url(),跟进

YzmCMS代码审计

这里主要是做网站伪静态的,同时增加了个路由指定方法-$_GET['s']

回到application.class.php,继续通读

YzmCMS代码审计

跟进下调用的三个方法,在param.class.php

YzmCMS代码审计

YzmCMS代码审计

每个方法中都带有$ = $this->safe_deal($);,跟进下这个方法。

YzmCMS代码审计

这里进行了addslashes()过滤。

每个方法中这部分

YzmCMS代码审计

是判断$_GET['a']是否存在,不存在则返回默认路由

回到application.class.php

上面调用了init(),32行又调用了load_controller(),跟进下

YzmCMS代码审计

59行实际上是application/$_GET[m]/controller/$_GET[c].class.php,然后62行对其包含,然后64行是实例化包含进来的类,回到上一步

YzmCMS代码审计

这里有个call_user_func方法,来调用$_GET[a]方法。

0x02 框架总结

http://www.xxx.com/模块名/控制器/方法
    所对应的文件路径为 ./application/模块名/controller/控制器.php
    所对应的方法则是传递过来的方法。
http://www.xxx.com/?s=模块名/控制器名/方法名
    所对应的文件路径为 ./application/模块名/controller/控制器.php
    所对应的方法则是传递过来的方法。
http://www.xxx.com/?m=模块名&c=控制器名&a=方法名
    所对应的文件路径为./application/模块名/controller/控制器.php
    所对应的方法则是传递过来的方法

0x03 知识星球

YzmCMS代码审计

原文始发于微信公众号(狐狸说安全):YzmCMS代码审计

版权声明:admin 发表于 2023年5月2日 下午4:01。
转载请注明:YzmCMS代码审计 | CTF导航

相关文章

Python沙箱逃逸
admin
213
漏洞复现 WiseGiga NAS group.php 远程命令执行漏洞
admin
619
针对漏洞研究者与红队人员的定向水坑攻击
admin
298
NFake Dialog Boxes to Make Malware More Convincing
admin
12
近源渗透评估指南-WiFi篇
admin
102
Vmware VRealize NetWork Insight 系统中的预身份验证RCE
admin
147

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

Vulnerabilities across keyboard apps reveal keystrokes to network eavesdroppers
0
allowRunningInsecureContent | Electron 安全
0
VM逆向,一篇就够了
0
先知安全沙龙(西安站) – 浅谈XSS漏洞挖掘与构造思路
0
浅谈API漏洞挖掘
0
A Detailed Guide on Pwncat
0
geoserver代码审计
0
代理(ATT&CK篇)
0
CVE-2024-24576 Windows 下多语言命令注入漏洞分析
0
Ray OS 2.6.3 Command Injection
0