本文由雲+社區發表
0x00 前言
乾白盒審計有小半年了,大部分是業務上的代碼,邏輯的複雜度和功能模塊結構都比較簡單,幹久了收獲也就一般,有機會接觸一個成熟的產品(vtiger CRM)進行白盒審計,從審計的技術難度上來說,都比公司內的那些業務複雜得多,而真正要提高自己技術水平,更應該看的也是這些代碼。
vtiger CRM是一個客戶關係管理系統。
0x01 分析整體結構
https://www.vtiger.com/open-source-crm/download-open-source/代碼下載下來,本地搭建。使用phpstorm進行審計。
- 主目錄下的vtigerversion.php可以查看當前版本。
- 整體代碼目錄
其中主要得功能實現就在modules目錄當中,也是我們重點審計的地方。libraries目錄是使用到的第三方的一些東西,includes目錄是路由加載,封裝系統函數的地方。
整個系統代碼量確實很多,真要審計完估計沒有十天半個月是不行的,看了一個禮拜,只發現幾個問題。
0x02 modules/Calender/actions/feed.php SQL注入分析
一個成熟的產品,審計的難點就在於各種類,對象的封裝和繼承,A調用B,B調用C,C調用D......
Vtiger_BasicAjax_Action 這個對象,是modules下vtiger目錄裏的,而vtiger這個也是核心的module.
回到feed.php,直接定位有漏洞的代碼,103行後。
我圖中標的,也正是注入點的位置。
$fieldName參數由逗號分割成數組,如果分成後的數組值爲2則進入邏輯,然後參數進入SQL語句形成注入。雖然整個系統採用了PDO的查詢方式,但是如果有SQL語句存在直接拼接的話,還是有注入的風險。
這裏payload不能使用逗號,可以採用 (select user())a join的方法繞過。
往下走的話,SQL注入漏洞更是多不勝數。也沒有再看的必要了。
0x03 /modules/Documents/models/ListView.php SQL注入
直接看漏洞代碼
可以看到sortorder參數又是直接拼接。此處是order by後的注入,只能用基於時間的盲注。
直接上SQLmap吧,但是sqlmap的payload會使用>,尖括號因爲xss防禦,已經被過濾所以需要使用繞過腳本。 --tamper greatest 繞過。
poc:
index.php?module=Documents&parent=&page=1&view=List&viewname=22&orderby=filename&sortorder=and/**/sleep(5)&app=MARKETING&search_params=[]&tag_params=[]&nolistcache=0&list_headers=[%22notes_title%22,%22filename%22,%22modifiedtime%22,%22assigned_user_id%22,%22filelocationtype%22,%22filestatus%22]&tag=
0x04 寫在最後
由於時間原因,只看了前幾個模塊,還有好多地方沒有看。
漏洞都很簡單,真正花費時間的是走通邏輯,驗證漏洞,不停地跳轉查看函數調用,和各種類對象的繼承。這也是白盒審計的頭疼之處,要忍着性子看開發跳來跳去,沒準哪個地方就跳錯了。有點難受,還沒找到getshell的地方。
此文已由作者授權騰訊雲+社區發佈