代碼審計：bluecms 用戶註冊xss漏洞復現

bluecms

BlueCMS是一款專注於地方門戶網站建設解決方案，基於PHP+MySQL的技術開發，全部源碼開放。
復現版本爲bluecmsv1.6版本，各位可自行下載。

代碼審計

這次不用Seay挖xss漏洞，我們通過關鍵功能測試來審計xss漏洞。
在後臺->會員管理->會員列表處，管理員是可以查看會員信息的，要是此處信息能從前臺插入xss代碼，就能盜取管理員cookie。

來到前臺會員註冊處，嘗試註冊一個用戶，可以看到可控的有用戶名，郵箱，密碼一般不考慮。

提交註冊，抓包具體分析一下，可以看到走的是user.php的do_reg方法。

來到代碼所在處，可以看到用戶名有長度限制，郵箱沒有過濾直接插入sql語句，那應該郵箱處可以插入我們的xss代碼。

elseif($act == 'do_reg'){
	$user_name 		=	!empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
	$pwd       		= 	!empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
	$pwd1 	   		= 	!empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
	$email     		= 	!empty($_POST['email']) ? trim($_POST['email']) : '';
	$safecode  		= 	!empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
	$from = !empty($from) ? base64_decode($from) : 'user.php';

	if(strlen($user_name) < 4 || strlen($user_name) > 16){
		showmsg('用戶名字符長度不符');
	}
	if(strlen($pwd) < 6){
		showmsg('密碼不能少於6個字符');
	}
	if($pwd != $pwd1){
		showmsg('兩次輸入密碼不一致');
	}
	if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
		showmsg('驗證碼錯誤');
	}
	if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
		showmsg('該用戶名已存在');
	}
	if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
		showmsg('該用戶名已存在');
	}
	$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
	if(!$db->query($sql)){
		showmsg('很遺憾，註冊中出錯啦');
	}else{
		$_SESSION['user_id'] = $db->insert_id();
		$_SESSION['user_name'] = $user_name;
		update_user_info($_SESSION['user_name']);
		setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
		if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
		{
		$uid = uc_user_register($user_name, $pwd, $email);
		if($uid <= 0)
		{
			if($uid == -1)
			{
				showmsg('用戶名不合法！');
			}
			elseif($uid == -2)
			{
				showmsg('包含不允許註冊的詞語！');
			}
			elseif($uid == -3)
			{
				showmsg('你指定的用戶名 '.$user_name.' 已存在，請使用別的用戶名！');
			}
			elseif($uid == -4){
				showmsg('您使用的Email格式不對！');
			}
			elseif($uid == -5)
			{
				showmsg('你使用的Email 不允許註冊！');
			}
			else
			{
				showmsg('註冊失敗！');
			}
		}
		else
		{
			$ucsynlogin = uc_user_synlogin($uid);
			echo $ucsynlogin;
		}
		}
		$_SESSION['last_reg'] = $timestamp;
		showmsg('恭喜您註冊成功,現在將轉向...', $from);
	}
 }

漏洞復現

前端有js驗證郵箱合法性，那我們輸入正確的郵箱地址，抓包進行修改。

referer=&user_name=xss123&pwd=123456&pwd1=123456&email=haha%40qq.com<script>alert(1)</script>&safecode=rc4d&from=&act=do_reg

可以看到註冊成功，登錄xss123用戶，直接彈窗。

以管理員登錄後臺，查看會員列表，也成功彈窗，xss代碼也確實插入成功。