YZMCMS V5.3后台 SSRF

以你之姓@ 2023-08-17 17:16 77阅读 0赞

当改变命运的时刻降临，犹豫就会败北。

**前言**

此前在测试过程中遇到过此CMS，久攻不下，于是便尝试代码审计，不得不说这套CMS还是挺安全的，读起来也简单，也适合初学代码审计的同学去阅读，不过漏洞真的不多，本人绞尽脑汁终于算是审计出一个弱鸡漏洞。

![1413560-20190715171634724-797086461.jpg][]

**漏洞分析**

漏洞位于 application\\collection\\controller\\collection\_content.class.php 中的 collection\_test 函数，此函数为获取一个网页中的URL，并获取此URL的值输出。类似于爬虫，爬取网页中URL对应的文章。以下为主要功能函数：　![1413560-20190715160530650-2133769130.png][]

首先查看 get\_content()函数：

![1413560-20190715160924744-1591351917.png][]

可以看到传进来的URL不进过任何检测规则就带入 file\_get\_content()函数，那么倘若此 $url 为 file:// 伪协议的话，如此则产生任意文件读取漏洞。那么此时回头看 $url的值是否可控。

![1413560-20190715161234555-2029231022.png][]

可以看到，$url 的值来自于 collection\_node 表中的 urlpage 字段的值。如果要 $url 可控，那么就要找到一个数据库写入操作，并且 urlpage 字段的值可控。再看：　![1413560-20190715161532409-1257475018.png][]

此函数则是将$\_POST的数据写入到表中。看 insert 函数如何写。

![1413560-20190715161657845-1761930958.png][]

可以看到在写入过程中经过过滤函数 safe\_data() ：

![1413560-20190715161816206-14099913.png][]

假设payload为：file://C:/Windows/System32/drivers/etc/hosts  可以看到此过滤函数对此payload并无任何影响，所以导致插入数据库中的urlpage字段的值可控，由此导致$url的值可控。再往下查看 get\_sub\_content()函数：

![1413560-20190715162800800-487567122.png][]

可以看到此函数是将 $html 中的 $start 和 $end 之间的值取出来，而 $start 表示区间开始的html表示，$end 表示区间结束的html标识。并且这两个标识不能为空。于是可以构造payload为：<test123>file://C:/Windows/System32/drivers/etc/hosts</test123>，如此进过上述函数则会取出payload并返回。再往下：

![1413560-20190715163206484-1073649142.png][]

进入get\_all\_url()函数：

![ContractedBlock.gif][] ![ExpandedBlockStart.gif][]

1 public static function get_all_url($html, $url_contain='', $url_except='') {
     2         
     3         $html = str_replace(array("\r", "\n"), '', $html);
     4         $html = str_replace(array("</a>", "</A>"), "</a>\n", $html);
     5         preg_match_all('/<a ([^>]*)>([^\/a>].*)<\/a>/i', $html, $out);
     6         $data = array();
     7         foreach ($out[1] as $k=>$v) {
     8             if (preg_match('/href=[\'"]?([^\'" ]*)[\'"]?/i', $v, $match_out)) {
     9                 if ($url_contain) {
    10                     if (strpos($match_out[1], $url_contain) === false) {
    11                         continue;
    12                     } 
    13                 }
    14 
    15                 if ($url_except) {
    16                     if (strpos($match_out[1], $url_except) !== false) {
    17                         continue;
    18                     } 
    19                 }
    20                 $url2 = $match_out[1];
    21                 $url2 = self::url_check($url2, self::$url);
    22                 
    23                 $title = strip_tags($out[2][$k]);
    24 
    25                 if(empty($url2) || empty($title)) continue;
    26                 
    27                 $data['url'][$k] = $url2;
    28                 $data['title'][$k] = $title;
    29 
    30             } else {
    31                 continue;
    32             }
    33         }

发现其中有一个正则过滤： preg\_match\_all('/<a (\[^>\]\*)>(\[^\\/a>\].\*)<\\/a>/i', $html, $out); ，此正则获取<a (value)>(value)</a>括号中的值，并将其合并为一个数组。再往下看，又出现一个正则过滤：

preg\_match('/href=\[\\'"\]?(\[^\\'" \]\*)\[\\'"\]?/i', $v, $match\_out) ，此规则为href="(value)"，并获取括号中value的值给$match\_out，那么此时我们的payload需更改为：

1 　　<test123><a href="file://C:/Windows/System32/drivers/etc/hosts">test</a></test123>

此时在往下看，有一个url\_check函数：

![1413560-20190715164451032-1539725007.png][]

可以看到会检测最后取出payload的值中是否有  ://  ，巧的是我们的payload正好符合，所以该检测函数并未对payload造成影响。再往下回到最初的函数中：

![1413560-20190715164740001-1037267508.png][]

至此，$articleurl 的值为我们最后的payload：   file://C:/Windows/System32/drivers/etc/hosts      ，直至此时，$article 的值为读取到的本地任意文件的内容，再往下看 get\_filter\_html()函数：

$data['content'] = self::replace_item(self::get_sub_content($html, $config['content_rule'][0], $config['content_rule'][1]), $config['content_html_rule']);
    return $data;

由于篇幅限制，只拿出影响读取内容的代码，其实这段代码对结果并无影响，有兴趣自己下来阅读。在往下看到：

![1413560-20190715165648952-1641029978.png][]

admin\_tpl()函数为加载模板的函数，此模板位于：application\\collection\\view\\collection\_test.html

![1413560-20190715165845522-1280682181.png][]

此处只截出影响此漏洞的代码。此处可以看到，将读取出的任意文件内容显示出来，到此则漏洞分析完毕。

**漏洞复现**

**复现环境**

操作系统：windows 7

php版本：5.5.38 + Apache

mysql版本：5.5.53

首先登陆后台，进入 模块管理--->采集管理

![1413560-20190715170111068-1034373968.png][]

添加节点

![1413560-20190715170649307-2082679800.png][]

此处网站配置框中，可以在自己的vps服务器中搭建一个html网页，其内容为payload：

获取网站中的区域开始html为<test123>，区域结束的HTML为</test123>。点击保存。

![1413560-20190715170945470-2006617379.png][]

再次点击测试采集，则读取payload中的hosts文件。

![1413560-20190715171055991-125938124.png][]

复现成功。

转载于:https://www.cnblogs.com/Spec/p/11188198.html

[1413560-20190715171634724-797086461.jpg]: /images/20230808/45e88933482a44dfb1741d14b4835bae.png
[1413560-20190715160530650-2133769130.png]: /images/20230808/410294fb46e74846af87cee677c77777.png
[1413560-20190715160924744-1591351917.png]: /images/20230808/6b3d9afb8cf2429f9566a6ed12f51bde.png
[1413560-20190715161234555-2029231022.png]: /images/20230808/112ff66bb1be4401901caa2d43bac59f.png
[1413560-20190715161532409-1257475018.png]: /images/20230808/7a654f6d816b478ba867e7bc693498cc.png
[1413560-20190715161657845-1761930958.png]: /images/20230808/91919abbbcc248a88f73394e0deb6053.png
[1413560-20190715161816206-14099913.png]: /images/20230808/b3d7d5e587e3444f8433587d0ed4e5d7.png
[1413560-20190715162800800-487567122.png]: /images/20230808/815cd9cfd9b645ffbf16e7c910bddf0b.png
[1413560-20190715163206484-1073649142.png]: /images/20230808/cb116e3c03304e66800134c278275d88.png
[ContractedBlock.gif]: https://images.cnblogs.com/OutliningIndicators/ContractedBlock.gif
[ExpandedBlockStart.gif]: /images/20230808/70b9245565194eba8fb445dbd081a1bb.png
[1413560-20190715164451032-1539725007.png]: /images/20230808/dcc6caeba545428b84ce607d7d002b48.png
[1413560-20190715164740001-1037267508.png]: /images/20230808/3fae6d0f585b4e42922affde18966b0c.png
[1413560-20190715165648952-1641029978.png]: /images/20230808/fce2b3b2c3e04fdf9245126fc9479187.png
[1413560-20190715165845522-1280682181.png]: /images/20230808/96936646860b46bbac555398294a82b9.png
[1413560-20190715170111068-1034373968.png]: /images/20230808/da410d8e39364631b4fd14d00fcc667b.png
[1413560-20190715170649307-2082679800.png]: /images/20230808/ec6ce7f7ada349cf979e0e3e986fbcbe.png
[1413560-20190715170945470-2006617379.png]: /images/20230808/7e364af4757a43568a23a9867fc404d0.png
[1413560-20190715171055991-125938124.png]: /images/20230808/b32e221220254d2189b2418ca6a9f146.png