WuzhiCMS 4.1.0 代码审计报告<\/h1>

一、环境准备<\/h2>

下载源码：<\/p>

百度网盘链接: https:\/\/pan.baidu.com\/s\/1fVsmBHV_0gp4qWEvQuB2Lw<\/li>
提取码: rh9j<\/li> <\/ul> <\/li>

系统要求：<\/p>

PHP版本需大于5.2.0<\/li>
检查代码：if(PHP_VERSION < '5.2.0') die('Require PHP > 5.2.0 ');<\/code><\/li> <\/ul> <\/li>


核心文件结构：<\/p>

入口文件：index.php<\/code><\/li>
核心框架文件：coreframe\/core.php<\/code><\/li>
配置文件：configs\/web_config.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
二、MVC架构分析<\/h2>


核心参数：<\/p>

m<\/code> (module)：模块<\/li>
f<\/code> (function)：功能<\/li>
v<\/code> (view)：视图<\/li>
定义位置：application.class.php<\/code>中的__construct()<\/code>方法<\/li>
<\/ul>
<\/li>

类加载机制：<\/p>

通过load_class()<\/code>函数加载核心类<\/li>
类文件路径：coreframe\/app\/{$m}\/libs\/class\/{$class}.class.php<\/code><\/li>
扩展类命名：EXT_{$class}.class.php<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
三、漏洞审计<\/h2>
1. XSS漏洞（后台）<\/h3>
位置<\/strong>：后台"我的提问"功能<\/p>
测试过程<\/strong>：<\/p>

输入测试语句<s<\/code>被过滤<\/li>
需要进一步测试其他XSS向量<\/li>
<\/ul>
2. XSS漏洞（前台搜索）<\/h3>
位置<\/strong>：前台搜索功能<\/p>
过滤机制<\/strong>：<\/p>

\/<\/code>被过滤，转为HTML编码<\/li>
#<\/code>和;<\/code>也被过滤<\/li>
需要闭合标签测试<\/li>
<\/ul>
3. 验证码绕过<\/h3>
位置<\/strong>：登录验证码<\/p>
漏洞详情<\/strong>：<\/p>

配置文件web_config.php<\/code>中TEST_CHECKCODE<\/code>设置为0时正常验证<\/li>
但实际测试中不输入验证码可直接绕过<\/li>
<\/ul>
相关代码<\/strong>：<\/p>
define<\/span>('TEST_CHECKCODE'<\/span>,0<\/span>); \/\/1 打开测试验证码,0 正常验证码
<\/span><\/span><\/span><\/code><\/pre>验证码生成逻辑<\/strong>：<\/p>

默认生成4位随机验证码<\/li>
当TEST_CHECKCODE=1<\/code>时，固定为"AAAA"<\/li>
<\/ul>
4. SQL注入漏洞<\/h3>
位置<\/strong>：会员组删除功能<\/p>
漏洞文件<\/strong>：coreframe\/app\/member\/admin\/group.php<\/code><\/p>
漏洞详情<\/strong>：<\/p>

$GLOBALS['groupid']<\/code>未经过滤直接拼接到SQL语句<\/li>
通过delete()<\/code>方法执行<\/li>
<\/ul>
利用方式<\/strong>：<\/p>
http:\/\/wuzhicms:90\/index.php?m=member&f=group&v=del&groupid=1%20and%20updatexml(1,concat(0x7e,database(),0x7e),1)&_su=wuzhicms&%20menuid=86&callback=jQuery111105555776097227751_1667533450920&=1667533450921
<\/code><\/pre>
漏洞调用链<\/strong>：<\/p>

group.php<\/code>中的del()<\/code>方法<\/li>
调用$this->db->delete()<\/code><\/li>
最终执行mysql.class.php<\/code>中的query()<\/code>方法<\/li>
<\/ol>
关键代码<\/strong>：<\/p>
final<\/span> public<\/span> function<\/span> delete<\/span>($table, $where =<\/span> ''<\/span>) {
<\/span><\/span>    $where =<\/span> $this-><\/span>array2sql<\/span>($where);
<\/span><\/span>    return<\/span> $this-><\/span>master_db<\/span>-><\/span>delete<\/span>($table, $where);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>四、数据库操作分析<\/h2>


核心SQL执行方法：<\/p>

query()<\/code>：执行原始SQL语句<\/li>
get_param_sql()<\/code>：参数化查询<\/li>
get_page_list_count()<\/code>：获取分页计数<\/li>
get_page_list()<\/code>：获取分页数据<\/li>
<\/ul>
<\/li>

SQL注入风险点：<\/p>

delete()<\/code>方法中$where<\/code>参数直接拼接<\/li>
listing()<\/code>方法中$keywords<\/code>直接拼接到SQL语句<\/li>
<\/ul>
<\/li>
<\/ol>
危险代码示例<\/strong>：<\/p>
if<\/span>(isset<\/span>($GLOBALS['keywords'<\/span>])) {
<\/span><\/span>    $keywords =<\/span> $GLOBALS['keywords'<\/span>];
<\/span><\/span>    $where =<\/span> "`name` LIKE '%<\/span>$keywords<\/span>%'"<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>五、修复建议<\/h2>


XSS漏洞：<\/p>

对所有用户输入进行HTML实体编码<\/li>
实现严格的输出过滤<\/li>
<\/ul>
<\/li>

验证码绕过：<\/p>

强制验证码检查，无论配置如何<\/li>
服务器端验证验证码有效性<\/li>
<\/ul>
<\/li>

SQL注入：<\/p>

使用预处理语句<\/li>
对$GLOBALS<\/code>变量进行严格过滤<\/li>
在array2sql()<\/code>方法中增加过滤逻辑<\/li>
<\/ul>
<\/li>

其他建议：<\/p>

更新PHP版本要求（当前最低5.2.0已过时）<\/li>
实现CSRF防护机制<\/li>
加强日志记录功能<\/li>
<\/ul>
<\/li>
<\/ol>
六、免责声明<\/h2>

本文提供的技术信息仅供参考<\/li>
使用本文信息需遵守《中华人民共和国网络安全法》<\/li>
作者及发布平台不对因使用本文信息导致的任何直接或间接责任负责<\/li>
<\/ol>

WuzhiCMS 4.1.0 代码审计报告<\/h1>

三、漏洞审计<\/h2>

六、免责声明<\/h2> 本文提供的技术信息仅供参考<\/li> 使用本文信息需遵守《中华人民共和国网络安全法》<\/li> 作者及发布平台不对因使用本文信息导致的任何直接或间接责任负责<\/li> <\/ol>

六、免责声明<\/h2>

本文提供的技术信息仅供参考<\/li>
使用本文信息需遵守《中华人民共和国网络安全法》<\/li>
作者及发布平台不对因使用本文信息导致的任何直接或间接责任负责<\/li> <\/ol>