无框架的phpcms审计,第一次代码审计之HsycmsV2.0—MVC框架

1.从开始出发—初步介绍MVC框架

MVC顾名思义是三个单词的首字母放在一起的简称&＃xff0c;M-model(模型)&＃xff0c;V-view(试图)&＃xff0c;C-controller(控制器)&＃xff0c;其间的联系又是怎么样的呢&＃xff0c;日常贴图

至于MVC框架的具体运作方式&＃xff0c;会在后面的文章的介绍&＃xff0c;在此不做过多赘述。

2.写配置文件

在mvc框架中&＃xff0c;需重点审核的就是控制器下所对应的php文件。从安装开始&＃xff0c;

index.php是入口文件&＃xff0c;install是模块&＃xff0c;index控制器&＃xff0c;check.html对应的是方法&＃xff0c;详细介绍见

《ThinkPHP5快速入门》

代码审计

在app/install/controller/index.php文件中&＃xff0c;首先是config()方法&＃xff0c;

在此处&＃xff0c;变量$DB被赋值&＃xff0c;已经是一个数组&＃xff0c;可以看到&＃xff0c;$db是可控的&＃xff0c;继续跟进$DB&＃xff0c;发现在后面的session()方法中&＃xff0c;将$DB的值赋给db_config作用是设置session。见图

跟进db_config&＃xff0c;发现其进入sql方法&＃xff0c;并赋值给变量$dbconfig&＃xff0c;并通过write_config()方法赋值给变量$conf&＃xff0c;利用seay全局搜索write_config()&＃xff0c;

发现此方法在app/install/common.php文件中&＃xff0c;并且只是做简单的替换&＃xff0c;没有任何过滤或者别的处理&＃xff0c;直接写入database.php文件&＃xff0c;于是便可以任意写配置文件。

在这里写。

但道路纵使曲折的&＃xff0c;写进去了&＃xff0c;但安装失败。参考Jokuuy师傅的文章发现&＃xff0c;只有在write_config()之前的所有执行不报错的情况下&＃xff0c;该方法才会执行。且如果想在数据表前缀处写一句话&＃xff0c;则必须结合sql语句进行构造&＃xff0c;否则安装数据库失败

就像这样。

此处又看了师傅们的文章&＃xff0c;水平有限&＃xff0c;真的定位不到这里了

之后就知道了&＃xff0c;构造如下payload&＃xff0c;

sy_user&＃96; set password&＃61;1 or &＃39;.&＃64;eval($_POST["q"]).&＃39;#

成功getshell&＃xff0c;

该文章参考Jokuuy师傅。