【代码审计】xhcms

个人博客地址

darkerbox.

欢迎大家学习交流

环境：

cms下载地址：down.chinaz./soft/39154.htm
phpstudy  
php	5.5.45
mysql	5.5.53

想学学代码审计。拿个小众点的来看看吧。

sql注入

安装步骤不说了，安装好后如下图。

看到这个站点就想随便点一点。，然后看看url的参数。

这个cid很明显。测试一下是否存在sql注入。

127.0.0.1:7000/?r=content&cid=5' and 1=1;#

可以看到这里直接报错了，而且我们的单引号直接被转义了。跟踪代码。
在index.php中，可以看见接收r参数。然后包含文件。(这里可能有文件包含。但是我没有绕过后面的.php)

刚才可以看见r是content。找到files/content.php

有很多个sql语句，而且cid参数是被addslashes过滤的。

我们发现这里是数字型注入。不需要单引号闭合。这里我想用报错注入。

127.0.0.1:7000/?r=content&cid=5 and updatexml(1,concat(0x3a,substring((select group_concat(column_name) from information_schema.columns where table_name=0x6C696E6B),1)),1)

因为过滤了单引号，所以表名用十六进制表示。之后的步骤就不细说了

XSS

这个也不知道算不算漏洞。
我用admin进入后台后。可以查看别人给我的留言。这里可能存在xss。跟踪代码找到mentlists.php.

我们提交的参数是message。是留言。

在184行找到sql语句。

发现在输出的时候没用做任何过滤。导致存储型xss。如果别人给这个用户留言。就可以得到这个用户的cookie

因为找不到注册用户的地方和留言的地方，不知道到底有没有。我觉得应该有。所以我这里直接往数据库里插入语句

id为4的就是我插入的。记住。cid必须为0.因为cid为0代表这是留言而不是评论。

成功弹窗，你昵称那里我插入的是<a href="javascript:alert(1)">hhh</a>，所以点击才会触发xss

可能还有其他漏洞，如果发现会继续更新此文章

欢迎大家一起学习交流，共同进步，欢迎加入信息安全小白群