WuzhiCMS漏洞审计与分析教学文档<\/h1>

一、前言<\/h2>
本文档详细记录WuzhiCMS的文件写入漏洞和SQL注入漏洞的审计过程，分享审计技巧和方法，适合想要学习代码审计的安全研究人员。<\/p>

二、WuzhiCMS路由规则分析<\/h2>

1. 入口文件<\/h3>

入口文件：index.php<\/code><\/li>

核心加载方法：load_class()<\/code><\/li>
<\/ul>
2. 类加载机制<\/h3>

如果$static_class<\/code>变量中存在类就直接获取<\/li>
否则从路径coreframe\/app\/core\/libs\/class\/$class.class.php<\/code>中加载<\/li>
类名格式：WUZHI_$class<\/code>（如load_class('application')<\/code>加载WUZHI_application<\/code>类）<\/li>
<\/ul>
3. 路由配置<\/h3>

通过get_config(route_config)<\/code>方法读取www\/configs\/route_config.php<\/code>配置<\/li>
路由配置示例：
return<\/span> array<\/span>(
<\/span><\/span>    'default'<\/span>=><\/span>array<\/span>('m'<\/span>=><\/span>'content'<\/span>, 'f'<\/span>=><\/span>'index'<\/span>, 'v'<\/span>=><\/span>'init'<\/span>)
<\/span><\/span>);
<\/span><\/span><\/code><\/pre>表示调用content模块的index.php文件的init()方法<\/li>
<\/ul>
4. 目录结构与访问形式<\/h3>

模块路径：coreframe\/app\/content<\/code><\/li>
URL访问形式：
http:\/\/ip:port\/wuzhicms\/index.php?m=目录&f=文件名&v=方法&_su=wuzhicms
<\/code><\/pre>
<\/li>
<\/ul>
三、文件写入漏洞审计<\/h2>
1. 漏洞定位<\/h3>

关键函数：file_put_contents<\/code><\/li>
审计目标：检查file_put_contents<\/code>函数的参数是否可控<\/li>
<\/ul>
2. 漏洞发现<\/h3>

文件路径：coreframe\/app\/core\/libs\/function\/common.func.php<\/code><\/li>
漏洞函数：set_cache<\/code>
function<\/span> set_cache<\/span>($id, $data) {
<\/span><\/span>    $filename =<\/span> CACHE_ROOT<\/span>.<\/span>$id.<\/span>'.cache'<\/span>;
<\/span><\/span>    file_put_contents<\/span>($filename, $data);
<\/span><\/span>    return<\/span> true<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
$filename<\/code>和$data<\/code>参数可控<\/li>
<\/ul>
<\/li>
<\/ul>
3. 调用链分析<\/h3>

set_cache<\/code>方法被coreframe\/app\/attachment\/admin\/index.php<\/code>的set<\/code>方法调用<\/li>
$data<\/code>来自$GLOBALS['setting']<\/code>，完全可控<\/li>
缓存文件名不可控，需要寻找包含该缓存文件的位置<\/li>
<\/ul>
4. 利用条件<\/h3>

需要找到调用get_cache()<\/code>方法的地方<\/li>
发现ueditor<\/code>方法调用了get_cache()<\/code><\/li>
<\/ul>
四、SQL注入漏洞审计<\/h2>
1. 漏洞定位<\/h3>

关键方法：搜索SQL查询语句<\/li>
审计目标：检查SQL语句拼接处是否存在可控参数<\/li>
<\/ul>
2. 漏洞发现<\/h3>

文件路径：coreframe\/app\/core\/libs\/class\/mysql.class.php<\/code><\/li>
漏洞方法：query<\/code>
function<\/span> query<\/span>($sql) {
<\/span><\/span>    \/\/ 执行SQL查询
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
3. 调用链分析<\/h3>

query<\/code>方法被多处调用<\/li>
重点关注delete<\/code>方法中的调用：
function<\/span> delete<\/span>($table, $where) {
<\/span><\/span>    $sql =<\/span> "DELETE FROM `<\/span>$table<\/span>` WHERE <\/span>$where<\/span>"<\/span>;
<\/span><\/span>    return<\/span> $this-><\/span>query<\/span>($sql);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
$where<\/code>参数直接拼接到SQL语句中<\/li>
<\/ul>
<\/li>
<\/ul>
4. 参数溯源<\/h3>

$where<\/code>参数由全局变量keyword<\/code>赋值<\/li>
参数完全可控且无过滤<\/li>
<\/ul>
5. 完整利用链<\/h3>

copyfrom<\/code>文件下的listing<\/code>方法<\/li>
接收可控全局变量参数keywords<\/code><\/li>
赋值给$where<\/code><\/li>
插入SQL查询语句并执行<\/li>
<\/ol>
五、漏洞验证<\/h2>
1. 文件写入漏洞验证<\/h3>

通过控制$GLOBALS['setting']<\/code>写入恶意代码<\/li>
通过ueditor<\/code>方法包含缓存文件执行代码<\/li>
<\/ul>
2. SQL注入漏洞验证<\/h3>

通过控制keywords<\/code>参数构造恶意SQL<\/li>
成功实现延时注入验证<\/li>
<\/ul>
六、审计技巧总结<\/h2>

路由分析<\/strong>：首先理解框架的路由机制，便于定位功能对应的代码文件<\/li>
危险函数追踪<\/strong>：重点关注file_put_contents<\/code>、eval<\/code>、system<\/code>等危险函数<\/li>
参数溯源<\/strong>：对危险函数的参数进行逆向追踪，检查是否可控<\/li>
调用链分析<\/strong>：完整分析漏洞函数的调用链，确认利用条件<\/li>
SQL注入审计<\/strong>：

搜索直接执行SQL的方法（如query<\/code>）<\/li>
检查SQL拼接处的参数是否可控<\/li>
追踪参数来源，确认过滤情况<\/li>
<\/ul>
<\/li>
<\/ol>
七、修复建议<\/h2>


文件写入漏洞修复<\/strong>：<\/p>

对写入内容进行严格过滤<\/li>
限制缓存文件的写入目录和权限<\/li>
对缓存文件内容进行校验<\/li>
<\/ul>
<\/li>

SQL注入漏洞修复<\/strong>：<\/p>

使用预处理语句<\/li>
对输入参数进行严格过滤<\/li>
实现安全的SQL拼接方法<\/li>
<\/ul>
<\/li>
<\/ol>
通过本文档的详细分析，安全研究人员可以掌握WuzhiCMS的审计方法，并应用到其他CMS系统的漏洞挖掘中。<\/p>

WuzhiCMS漏洞审计与分析教学文档<\/h1>

一、前言<\/h2> 本文档详细记录WuzhiCMS的文件写入漏洞和SQL注入漏洞的审计过程，分享审计技巧和方法，适合想要学习代码审计的安全研究人员。<\/p>

二、WuzhiCMS路由规则分析<\/h2>

三、文件写入漏洞审计<\/h2>

四、SQL注入漏洞审计<\/h2>

五、漏洞验证<\/h2>

一、前言<\/h2>
本文档详细记录WuzhiCMS的文件写入漏洞和SQL注入漏洞的审计过程，分享审计技巧和方法，适合想要学习代码审计的安全研究人员。<\/p>