phpsession捏造技巧_PHPCMS V962 SQL注入马脚分析

文章目录 [+]

作者：0r3ak@0kee Team

投稿办法：发送邮件至linwei#360.cn，或上岸网页版在线投稿

phpsession捏造技巧_PHPCMS V962 SQL注入马脚分析

序言

（图片来自网络侵删）

通过这篇文章的剖析：http://bobao.360.cn/learning/detail/3805.html ，详细讲述了PHPCMS V9.6.1文件读取漏洞的触发成因，当创造网站是phpcms并且成功利用任意文件读取漏洞读取时系统文件时是否可以进行下一步的利用，在phpcms的核心文件/caches/configs/system.php中存储了phpcms全站的加密密钥与全局的配置参数：

利用这个密钥可以对 phpcms传输的数据加解密，利用SkyWolf在PHPcms 9.6.2中挖掘到了一枚合营密钥利用的SQL注入漏洞，以下是详细过程与剖析。

Skywolf

SykWolf先容

什么是SkyWolf？SkyWolf是一款自动化灰盒审计系统，所谓灰盒审计，在日常对cms的代码审计中可以理解为白盒结合黑盒的安全测试，以PHP扩展形式加载，通过污染通报的方法污染程序全体实行流程，并对程序处理流程进行安全性剖析。

Skywolf掌握台地址：

https://0kee.360.cn/skywolf/

通过访问网站接口skywolf会主动的剖析中间调用逻辑，来罗列出可疑的漏洞

告警处理：展示Skywolf创造业务已经触发的漏洞告警信息，点进去看到详细的漏洞信息：

可疑点：做事端数据库实行的可疑语句

调用栈：程序在实行这一次要求当中所调用的函数与代码文件物理路径、在文件中的行数。

SQL注入漏洞剖析

当访问到phpcms的member接口：

skywolf发出了干系告警：

详细剖析如下：

在会员前台管理中央接口的继续父类foreground：

/phpcms/modules/member/index.php LINE 11

这里继续了foreground，跟进去：

/phpcms/modules/member/classes/foreground.class.php line 19-38：

首先看到这里是验证前台会员用户是否登录，验证方法是解析客户真个cookie_pre_auth参数：

跟到get_cookie函数：

/phpcms/libs/classes/param.class.php LINE 107-116

首先读取system.php（网站全局配置./caches/configs/system.php）中的配置参数cookie_pre，也便是网站默认随机分配的cookie前缀，然后再读取到客户端cookie中的cookie_pre_auth值放入sys_auth中解密，那么客户真个cookie_pre_auth该当是经由加密处理后的，有了这些信息后get_cookie先放到这里往下走到get_auth_key：

这里咱们看到DECODE用到的key是$auth_key，而$auth_key又是通过get_auth_key('login’)得到的，再跟进get_auth_key：

./phpcms/libs/functions/global.func.php LINE 1601-1611:

可以看到这个$prefix即是外部传入的login，知足$prefix==‘login’后开始拼接客户端ip地址再对值进行md5加密，创造ip()是可以假造的：

末了得到的md5值便是sys_auth($phpcms_auth, 'DECODE', $auth_key)的解密key了，这样来剖析的话payload便是经由了两次加密，完备忽略任何第三方防御。

加密流程：

漏洞利用

利用办法就大略了：

通过任意文件读取获取到全局配置文件的auth_key值：

首先实行get_auth_key加密，在代码中输出$authkey = md5($prefix.$pc_auth_key)的值：

方便测试，IP参数假造为X-Forwarded-For: 123.59.214.3，输出了$authkey后直接exit了：

然后把phpcms关键的加解密函数sys_auth单独写到某个php文件里面：

sys_auth_key.php: