本文在20年首发于先知,主要用来学习
https://github.com/Mengfanpro/kkcms

一、安装过程不再赘述

安装后打开站点如下图所示

按CMS的介绍可以用来发卡或者来采集影视进行播放
由于是新手导向,所以可能会比较详细(入门)
image.png
其中部分文件

1632743890.png

二、验证码重用

对比session和传入的verifycode是否相等
1632743903.png
每次失败访问后,都会进行刷新跳转,然后重新执行一次JS代码,但是由于Burp默认不解析js,所以这里存在验证码复用的漏洞
1632743926.png
搜索此参数,发现只在verifycode.php中才存在 $_SESSION[‘verifycode’]
生成0——9的随机4位验证码。
此外,值得一提的是,许多站点存在验证码重用漏洞所用的代码和使用方法都和本文的案例一样。
1632743954.png

三、前台不能拿shell的上传漏洞

由于此cms默认存在的编辑器为kindetior,并且easy代码审计显示存在一个文件上传
查阅代码,发现存在可以直接上传html页面,txt等页面
更详细的可以查看 https://www.cnblogs.com/backlion/p/10421405.html,本文不再赘述。

1632743968.png

1632744054.png


四、新手SQL注入采坑:

在admin/login.php 后台登录的地方看到a_name 和 a_password 没有经过处理就带入SQL语句中
以为存在后台万能密码
1632744068.png
尝试万能密码Payload无果 头疼ing!!
尝试sqlmap 进行测试无果 头疼ing!!!
最后看了一下easy代码审计系统里自带的MySQL监控发现对引号进行了转义
1632744093.png
可是查看上面的代码又没有发现什么处理传参的地方,最后才在上方注意带包含了一个inc.php
1632744112.png
inc.php的内容
1632744142.png
我们分别进入这四个文件进行审计,最后在library.php中发现
1632744154.png
意思大概就是没有开启魔术引号的时候会将上述传参加上addslashes,因此在这里的们的双引号自然就会被加上反斜杠了(addslashes并不是万能的,具体可以去查阅百度)

五、前端SQL注入

输入一个引号发现回显不一样,审计此文件 /vlist.php
1632744169.png
可以的清楚的看到没有任何防护措施,也没有使用双引号进行包裹,直接进入sql语句进行拼接
1632744184.png
由于我们是新手,看到没有任何防护的措施直接上Sqlmap
另外此处其实是有上了如采坑点所说的addslashes的,但是由于没有使用双引号将$c_id包裹起来,所以我们无需使用双引号进行闭合,addslashes也就没有起到作用了。
(这里手工注入的时候,比较难搞,因为他默认c_id会等于0,这会给我们的输入造成很大的影响)
1632744202.png

六、后台SQL注入

进入后台,随便点点,寻找与数据库交互的地方(尤其是传参数为数字型的参数,因为我们在前面已经发现字符型的参数使用双引号包裹,而存在的addslashes会阻止一切字符型SQL注入),发现在会员管理处存在id=1
1632744220.png

id=1 and 1=2
1632744237.png
id=1 and 1=1 一个非常明显的sql注入漏洞
1632744249.png
进入文件中进行查看,直接进行拼接
1632744260.png
使用sqlmap进行注入,纳尼!这么明显的注入居然不存在???
1632744274.png
不过我们可以通过自己判断来确定存在一个盲注,确定当前数据库的第一个字母为k
盲注代码不再赘述,这里仅做证明

七、多处XSS漏洞

1、由于我们是新手,所以我们先从最简单的XSS漏洞找起
随便点击一个页面,寻找存在的get请求的参数,这就是我们寻找XSS漏洞的突破点
其中已发现的存在以下同样用法的XSS

  1. template\wapian\movie.php
  2. template\wapian\tv.php
  3. template\wapian\zongyi.php
  4. template\wapian\dongman.php

1、点击某处URL发现URL存在m、cat 、page 等参数
1632744303.png
2、我们先查看movie.php 里的内容,发现包含了三个文件
1632744344.png
3、跟进 include(‘template/‘.$xtcms_bdyun.’/movie.php’); 中的$xtcms_bdyun是什么
全局搜索$xtcms_bdyun 发现为数据库中system表的某个字段
1632744370.png

4、定位代码页面在template/wapian/movie.php,存在变量m,没有发现echo输出
1632744378.png
5、只能根据页面关键字进行二次定位
1632744403.png
6、根据页面文字信息进行定位,终于发现了相关的echo信息(定位echo找了很久,技术不熟练需要非常认真)
1632744413.png
7、根进getpageHtml函数 文件在system/function.php,其实代码写的有点乱,看不大懂,但是我们发现它并没有对传参进行完整的过滤(上文SQL踩坑处的addslashes不足以过滤xss),因此也就造成了XSS漏洞
1632744424.png
成功弹框
1632744495.png

此外,另外存在几处XSS,其原理也和上述XSS类似,输出点都在page点
例如:cat参数 存在XSS
1632744575.png
area参数存在xss
1632744585.png

留言板处前端+后端XSS双杀
在我决定弹反射型XSS弹到怀疑人生的时候,我陷入了沉思,我觉得应该要弹一个存储型XSS才够,因此我苦寻良久(由于是新手,easy代码审计工具中没有将可能存在存储型XSS漏洞的这个点显示出来),最后终于在book.php找到了(在首页上乱点没点到)
打开页面是一个留言框
1632744688.png
对代码进行审计发现需要我们传入的内容需要存在汉字(\x7f-\xff)
如果不存在汉字,则弹出内容不合法
(此处的验证码无法显示,我们作弊一下跳过验证码验证,将验证码字段的!=改为==)
1632744709.png
通过正则的校验后,直接进入数据库,并且包含了template下的book.php文件
1632744719.png
跟进此文件,发现从数据库中取出,然后直接echo,产生xss
1632744851.png
payload: 我入门KKCMS代码审计 - 图35
1632744860.png
查看cms_book.php
1632744867.png
此处从数据库中直接取出数据,因此造成后台存储型XSS
1632744881.png
1632744904.png

八、数据库信息泄露

本来是要测试是否存在重装漏洞的,却发现存在一个data.sql
打开网页发现存储的是默认创建的表结构和数据库信息,这是属于一个相对严重的信息泄露漏洞
1632744958.png

九、总结:

  1. 1:新手在审计CMS的时候,要有思路的去寻找漏洞点,不要看到一个点觉得存在,然后就跳跃性的转移文件审计代码,这样会导致效率很低。<br />    2:在审计CMS的时候,多注意一下是否默认存在开源软件或编辑器。<br />    3seay代码审计工具里的MYSQL查询语句监控真的非常好用!<br />    4:注意一些非HTML或者PHP后缀的文件,可能存在信息泄露漏洞。<br />    5:审计CMS时,可以先从重装文件入手,因为这是整个CMS的开端。