代码审计:bluecms 用户注册xss漏洞复现
程序员文章站
2022-04-30 12:01:22
...
bluecms
BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。
复现版本为bluecmsv1.6版本,各位可自行下载。
代码审计
这次不用Seay挖xss漏洞,我们通过关键功能测试来审计xss漏洞。
在后台->会员管理->会员列表处,管理员是可以查看会员信息的,要是此处信息能从前台插入xss代码,就能盗取管理员cookie。
来到前台会员注册处,尝试注册一个用户,可以看到可控的有用户名,邮箱,密码一般不考虑。
提交注册,抓包具体分析一下,可以看到走的是user.php的do_reg方法。
来到代码所在处,可以看到用户名有长度限制,邮箱没有过滤直接插入sql语句,那应该邮箱处可以插入我们的xss代码。
elseif($act == 'do_reg'){
$user_name = !empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
$pwd = !empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
$pwd1 = !empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
$email = !empty($_POST['email']) ? trim($_POST['email']) : '';
$safecode = !empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
$from = !empty($from) ? base64_decode($from) : 'user.php';
if(strlen($user_name) < 4 || strlen($user_name) > 16){
showmsg('用户名字符长度不符');
}
if(strlen($pwd) < 6){
showmsg('密码不能少于6个字符');
}
if($pwd != $pwd1){
showmsg('两次输入密码不一致');
}
if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
showmsg('验证码错误');
}
if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
showmsg('该用户名已存在');
}
if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
showmsg('该用户名已存在');
}
$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
if(!$db->query($sql)){
showmsg('很遗憾,注册中出错啦');
}else{
$_SESSION['user_id'] = $db->insert_id();
$_SESSION['user_name'] = $user_name;
update_user_info($_SESSION['user_name']);
setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
{
$uid = uc_user_register($user_name, $pwd, $email);
if($uid <= 0)
{
if($uid == -1)
{
showmsg('用户名不合法!');
}
elseif($uid == -2)
{
showmsg('包含不允许注册的词语!');
}
elseif($uid == -3)
{
showmsg('你指定的用户名 '.$user_name.' 已存在,请使用别的用户名!');
}
elseif($uid == -4){
showmsg('您使用的Email格式不对!');
}
elseif($uid == -5)
{
showmsg('你使用的Email 不允许注册!');
}
else
{
showmsg('注册失败!');
}
}
else
{
$ucsynlogin = uc_user_synlogin($uid);
echo $ucsynlogin;
}
}
$_SESSION['last_reg'] = $timestamp;
showmsg('恭喜您注册成功,现在将转向...', $from);
}
}
漏洞复现
前端有js验证邮箱合法性,那我们输入正确的邮箱地址,抓包进行修改。
referer=&user_name=xss123&pwd=123456&pwd1=123456&email=haha%40qq.com<script>alert(1)</script>&safecode=rc4d&from=&act=do_reg
可以看到注册成功,登录xss123用户,直接弹窗。
以管理员登录后台,查看会员列表,也成功弹窗,xss代码也确实插入成功。
下一篇: ssh框架整合后的配置文件