RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏

技术支持

小众CMS vaeThink v101 代码执行漏洞挖掘分析
  • 作者:admin
  • 发表时间:2019-07-07 07:57
  • 来源:未知

  闪云小程序,包含多样化的模板和可视化操作页面,能够快速创建各类版本小程序。

  专业学位硕士是偏向应用型的学科,是培养具有良好职业素养的高层次应用型专门人才。专业领域对高级专门人才的需求越来越强烈,如法律硕士、会计硕士等受到广大考生的青睐。很多用人单位对专业学位硕士含金量的质疑也随其发展而逐渐减少,社会认可度不断提升。

  首先确定你的IIS是7.5及以上版本,此方法适用,其他的版本本人未测试。

  据了解,美柚女人通平台的推广可结合上述用户偏爱风格分析,来准备素材及落地页。

  经过深入调研,海尔文化发现近乎社区产品在业内口碑极佳,决定与其合作,定制化海尔文化交互平台。该产品提供方拓宇科技是华为云市场服务商,在行业领域已有近10年的经验。

  点击“提交”后,我们会向您的邮箱发送一封验证邮件,请按照邮件中的提示完成操作。

  网站优化的目的就是使网站更容易被搜索引擎收录,提高用户体验和转化率进而创造价值。

  “文化养老”体系,为老年人创造了丰富条件参与文化生活,使他们的老年生活充满乐趣,幸福感得到有效提升,真正使老同志老有所为、老有所乐。

  \u8fdb\u5165\u5230\u53e6\u5916\u4e00\u4e2a\u9875\u9762

  sPlayer 可播放所有视频格式和编码,你无需将视频文件转换为 MP4 即可在你的移动设备中进行播放,无需文件转换。它还支持 ASS/SSA 特效字幕和各种手势操作。你也不必担心隐私问题,它拥有文件夹加密功能。sPlayer 还为广大学子准备了音视频变速不变调,以帮助学子们快速的浏览课件。

  新浪娱乐讯 7月3日曝光了一组宋佳的大片,照片里宋佳一身墨绿色西服再配上一双必不可少的优雅高跟鞋,现身品牌酒会,与设计师好友互动频频。整个人的气质超好,穿搭也精致抢眼,引领时尚。

  昆船公司1969年筹建至今,经过50年的栉风沐雨,度过了“找米下锅”的困境,历经“军转民”的涅槃痛楚,励精图治,集成创新、自主创新,走出了一条具有昆船特色的“三线”国有企业改革发展之路。

  1. 其实就是判断是不是匿名留言的时候,没有判断用户是否是真的登录状态而进行留言。

  \u7ad9\u5185\u4f18\u5316\u5c31\u662f\u901a\u8fc7SEO\u6280\u672f\u4f7f\u5f97\u6211\u4eec\u7f51\u7ad9\u5728\u641c\u7d22\u5f15\u64ce\u4e0a\u7684\u53cb\u597d\u5ea6\u548c\u7ad9\u5185\u7528\u6237\u7684\u826f\u597d\u4f53\u9a8c\u5ea6\u4e0a\u5347\u3002\u8fd9\u6837\u505a\u7684\u76ee\u7684\u5f88\u7b80\u5355\uff0c\u5c31\u662f\u4e3a\u4e86\u8ba9\u6211\u4eec\u7684\u7f51\u7ad9\u5728\u641c\u7d22\u5f15\u64ce\u7684\u6392\u540d\u9760\u524d\u5e76\u4e14\u5f97\u5230\u5f88\u597d\u7684\u5ba2\u6237\u8f6c\u6362\u7387\u3002

  0;)if(i=o.shift(),0!=i.length){if(void 0===s[i]o.length0&&!t.isPlainObject(s[i]))return r;s=s[i]}return t.isPlainObject(s)?t.extend({},s):s},e.setConfig=function(i,s){if(!i)return e.events.trigger(warn.config,setConfig parameter key is null or undefined),e;if(t.isPlainObject(i))return r(!0,n,i),e;for(var o,u,a=n,f=i.split(.),l=!1;f.length>

  我们看一个在这方面做得非常好的一个网站,网站主页的元标签描述和进入网站后网站的描述都非常一致。

  由中国发展研究基金会联合中国儿童中心、教育三十人论坛共同主办的“中国儿童发展论坛”于6月1日在北京举行,主题为“儿童优先 筑基未来”。图为第二单元:守护农村贫困儿童的公平起点。

  以上几个方面皆是一个营销型网站必须具备的要素,那么企业在做营销型网站建设时,想要其取得更佳的效果,产生更多的销售业绩,不妨从这些方面来入手。相信只要坚持去做,把每个问题都完善,把每个细节都处理到位,那么你的营销型网站就一定能获得不错的效果。但是如果你只注意一个或者其中几个,而忽略另外的部分,即便是再小的细节,也会牵一发而动全身,终只会导致整个营销型网站与二字失之交臂。

  本文是对一个小众CMS(vaeThink v1.0.1)进行分析、代码执行漏洞挖掘和审计过程的记录,该CMS基于ThinkPHP5开发。作为一名代码审计的入门菜鸟,也希望能够将实践和学习的过程记录和分享,以期能够与大家共同交流进步。

  得到CMS的项目源码后,不着急进行源码的白盒审计,可以先将CMS部署和运行起来,认识和了解其功能点,同时进行黑盒测试。

  该CMS的部署比较简单,只要有LAMP的环境,并且将网站根目录指向public目录即可,接着根据提示安装。安装完成之后,访问该CMS直接出现登录页面:

  需要注意的是,一般在登录功能处可能存在SQL注入漏洞,但是本文着重挖掘代码执行漏洞的挖掘,因此其他类型会略过,我们继续通过安装时设置的管理员账号登入后台,进一步了解后台的其他功能点:

  在系统/配置菜单中,存在与网站信息、邮件和短信配置相关的功能页面。在不进行源码审计的情况下,首先查看数据库中的数据表和字段,发现没有存储和这些配置相关的信息,可以猜测这些信息可能直接经过处理后存储在某个配置文件中,经过对项目目录的大致了解,应该是在data/conf下。

  我们输入特定的测试数据进行提交,并且通过grep过滤包含特定数据的文件:

  我们继续构造可控内容];phpinfo;//,可以通过闭合前面的数组逃逸出来:

  但是测试发现,可控内容前的return会直接返回,注入的代码并没有被执行。另外,注意一下配置文件的路径可以发现,data目录不是一个可以直接访问到的网站路径,除非能够配合其他的路径穿越或者文件包含漏洞才有更进一步的可能,这里的日志文件也是同理。

  注意到data目录下还存在cache和temp目录,其中存储了一些缓存文件:

  除了和上面配置、日志文件存在同样的限制,这些缓存文件还通过exit进行了安全处理:

  几条路暂时被堵死了不要慌,继续观察CMS的其他功能点。在管理员的修改个人信息页面,发现存在一个头像上传功能,简单选择一个t.php上传,页面提示文件类型错误,不排除这只是一个前端校验的可能,我们通过抓包修改文件后缀继续进行上传:

  测试后发现这里的上传点果然只对文件后缀进行了前端校验,直截了当上传.php后缀的文件:

  该CMS除了头像功能点直接暴力的文件上传之外(过于简单。。),还有没有可能存在其他角度的漏洞点呢?比如用户输入可以直接作为某些代码执行函数的参数,导致任意代码执行。怀着疑问我们继续对CMS开始进一步的挖掘,PHPStorm启动!XDebug配置!

  变量来自上一行的$rule[condition],并且替换了{(\w*?)},但是没有进行其他的过滤操作:

  通过分析和函数名可以大致对该函数作用有了解,是对通过用户id获得用户组权限,并且返回权限列表。

  到此,基本可以确定在管理员访问鉴权功能模块中会触发此流程。接着下断点进行动态调试,便于对变量值的查看,我们选择菜单中的任何一个选项进行访问,执行流程会经过上述我们分析过的检查函数中:

  分析后可以确定,数据库中用户拥有的权限对应的规则的condition字段将会作为eval的参数被执行

  接着继续确定数据表中的condition字段是否为用户可控,分析后可以发现,在后台的系统/节点 页面中存在对该数据表的操作功能,而附加规则对应数据表中的condition字段:

  本文针对代码执行漏洞,从配置文件、日志文件和缓存文件的写入,文件上传以及函数执行参数可控的角度对vaeThink v1.0.1进行简单地挖掘和分析。全文内容比较简单,目的是记录和分享交流,请大佬轻喷。