[代码审计]YCCMS V3.4

CMS简介

YCCMS是一款PHP版轻量级CMS建站系统。程序页面设计简洁，生成静态html，后台功能强大。利于优化、超强收录、超强排名。适合做关键词排名、淘宝客程序，是个人、企业建站的理想选择。

YCCMS采用PHP5+MYSQL做为技术基础进行开发，OOP（面向对象），MVC模块化开发，代码易维护，方便功能扩展和二次开发。更高效、更安全、更稳定。

项目结构

漏洞分析

1 RCE

漏洞利用

POC：

/admin?a=Factory();phpinfo();//../

漏洞分析

利用点在：/public/class/Factory.class.php

$_a为get方法传入的参数，经过file_exists函数检测后调用eval执行代码

ucfirst():将字符串的首字母转换为大写

也就是说我们需要绕过file_exists检测，该函数的作用为检查文件或目录是否存在，并返回布尔值。

该函数允许传入路径中含有特殊符号，当目录中含有/../时会将第一个前的内容当作一个目录处理，而他本身会返回上一个目录，这样就造成了中间字符的逃逸。

也就是说我们可以构造Factory();phpinfo();//../,第一个Factory用来闭合前面实例化对象，之后就是插入的恶意代码，最后返回上级目录满足目录存在。

那么我们就需要找该类被加载的地方，在config/run.inc.php

而该文件又在admin/index.php中被包含，所以最终payload如上。

漏洞修复

可以在文件检测函数前加入判断，过滤字符

if(strpos($_a,"..") !== false ){ header('Location:'.'?a=login');exit(); }
if(strpos($_a,";") !== false ){ header('Location:'.'?a=login');exit(); }

2 未授权管理员密码修改

漏洞利用

POST /admin/?a=admin&m=update HTTP/1.1
username=admin&password=123456&notpassword=123456&send=%E4%BF%AE%E6%94%B9%E5%AF%86%E7%A0%81

漏洞分析

定位到controller/AdminAction.class.php

满足输入参数后就会进入editAdmin()，跟进model/AdminModel.class.php

直接进行了信息更新，这一系列操作并没有对用户身份进行验证，所以造成了任意密码修改。

3 文件上传_1

漏洞点位于后台，未对用户身份进行校验，可未授权上传。

漏洞利用

在系统设置->logo上传

访问view/index/images/logo.php

漏洞分析

定位到controller/CallAction.class.php

跟进LogoUpload，在public/class/LogoUpload.class.php

private $typeArr = array('image/png','image/x-png');
……
//验证类型private function checkType() {if (!in_array($this->type,$this->typeArr)) {Tool::alertBack('警告：LOGO图片必须是PNG格式！');}}

可以发现仅对Content-Type进行了验证，简单伪造即可

4 文件上传_2

漏洞点位于后台，未对用户身份进行校验，可未授权上传。

漏洞利用

在内容管理->添加文章->上传图片

访问图片位置执行代码即可

漏洞分析

同样定位到controller/CallAction.class.php

跟进FileUpload，在public/class/FileUpload.class.php

private $typeArr = array('image/jpeg','image/pjpeg','image/png','image/x-png','image/gif');       //类型合集
……
//验证类型private function checkType() {if (!in_array($this->type,$this->typeArr)) {Tool::alertBack('警告：不合法的上传类型！');}}

同样只是对Content-Type进行了验证，简单伪造即可。

5 任意文件删除

漏洞点位于后台，未对用户身份进行校验，可未授权删除。

漏洞利用

POC：

pid%5B0%5D=../important.txt&chkall=on&send=%E5%88%A0%E9%99%A4%E9%80%89%E4%B8%AD%E5%9B%BE%E7%89%87

在其他功能->图片管理->删除选中图片

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6TguOjcB-1646019143996)(…/…/…/…/…/…/…/…/AppData/Roaming/Typora/typora-user-images/image-20220224161033824.png)]

漏洞分析

定位到/controller/PicAction.class.php

没有对传入的文件路径进行检测就直接拼接执行

写在后面

最近有道题目刚好遇到这个CMS，整体功能点也比较简单，因此对其进行了一个审计，在这个过程中也学到了不少hhh。

参考链接：
https://xz.aliyun.com/t/7748#toc-3