今天对某(SQ)cms进行代码审计
审计工具:rips
输入代码文件路径,点击scan进行扫描,发现的两个漏洞,一个是任意代码写入,另一个是文件包含。
第一个漏洞,从上面的图片看,它把提交的数据直接拼接到文件内容,再写入到boos.php。我们打开第一个漏洞所在的代码文件,看看有没有其他过滤条件。这是$_POST[‘username’]第一次出现的位置,判断这个变量是否存在。
继续跟踪,可以看到第二次出现的位置就直接拼接到文件内容里面去了,然后就直接写到文件里面去,并没有任何过滤。
接着我们把漏洞复现一下
管理员账号改为 localhost’);@eval($_GET[‘pass’]);//
因为该文件包含了boss.php,所以访问时加上pass变量。复现成功
继续看第二个,我们可以看到 产生包含漏洞的点是$C_T_0,$C_T_0的产生链是$C_T_0<—$C_T[0]<—$C_T<—$_GET[‘m’]
我们先打开index.php文件,追踪一下造成该漏洞的元凶,$_GET[‘m’]
$_GET[‘m’]在该文件只出现了两次,第一是判断是否存在,第二次是存在时赋值给$C_T,接着追踪$C_T
看红圈部分,explode函数将$C_T的内容以‘.’为分隔符进行分隔,返回一个数组,下一句代码将‘.’前面的内容重新赋值给$C_T,接着以‘-’为分隔符进行分隔,赋值,在判断‘-’前面的内容是否存在,存在的话赋值给$C_T_0。
追踪$C_T_0,注意看,$C_T_0跳到了switch进行判断,而switch条件有个default,在switch中,如果case都没有命中的话就会执行default条件的内容,所以经过这里之后,$C_T_0只能为case语句或default语句赋值给它的内容
接着就到了include
由此可看,该漏洞应该为误报