CRMEB开源版v5.1.0代码审计报告<\/h1>

0x00 前言<\/h2>
CRMEB开源商城系统是一款全开源可商用的PHP系统。本报告详细记录了在v5.1.0版本中发现的多项安全漏洞，包括高危的远程文件操作、文件上传漏洞，以及中危的SSRF、SQL注入等问题。<\/p>

0x01 环境信息<\/h2>

源码下载<\/strong>：Gitee发布页<\/a><\/li> <\/ul>
0x02 高危漏洞分析<\/h2>
1. 后台远程任意文件拉取（添加直播商品功能）<\/h3>
漏洞位置<\/strong>：<\/p>
adminapi\/controller\/v1\/marketing\/live\/LiveGoods.php -> add() services\/activity\/live\/LiveGoodsServices.php -> add() utils\/DownloadImage.php -> downloadImage() services\/upload\/storage\/Local.php -> down() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 使用readfile()<\/code>函数远程获取文件<\/li> 仅通过黑名单(php<\/code>, js<\/code>, html<\/code>)校验文件后缀<\/li> 文件名由URL的MD5值生成，格式：md5(url).ext<\/code><\/li> <\/ul> 复现步骤<\/strong>：<\/p> 准备恶意文件help.PHP<\/code>(内容：<?=phpinfo();?><\/code>)<\/li> 启动HTTP服务(python -m http.server 19000<\/code>)<\/li> 后台路径：营销->直播管理->直播商品管理->添加商品<\/li> 抓包修改image<\/code>参数为http:\/\/localhost:19000\/help.PHP<\/code><\/li> 访问生成的文件路径：\/uploads\/attach\/2023\/09\/07\/749aa9192a0f6ff0ed7c34418e6fe97f.PHP<\/code><\/li> <\/ol> 修复建议<\/strong>：<\/p> 使用白名单校验文件类型<\/li> 禁止远程文件包含功能<\/li> 生成随机文件名而非URL的MD5值<\/li> <\/ul> 2. 后台远程任意文件拉取（网络图片上传功能）<\/h3> 漏洞位置<\/strong>：<\/p> adminapi\/controller\/v1\/file\/SystemAttachment.php -> onlineUpload() services\/system\/attachment\/SystemAttachmentServices.php -> onlineUpload() services\/product\/product\/CopyTaobaoServices.php -> downloadImage() services\/upload\/storage\/Local.php -> steam() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 同样使用readfile()<\/code>函数<\/li> 相同的黑名单校验机制<\/li> 通过\/adminapi\/file\/online_upload<\/code>接口触发<\/li> <\/ul> 复现步骤<\/strong>：<\/p> 准备恶意文件同上<\/li> 后台路径：商品->商品管理->添加商品->上传图片->网络上传<\/li> 修改POST数据中的images<\/code>参数为恶意URL<\/li> 访问生成的文件路径<\/li> <\/ol> 3. 后台远程任意文件拉取（添加商品功能）<\/h3> 漏洞位置<\/strong>：<\/p> adminapi\/controller\/v1\/product\/StoreProduct.php -> save() services\/product\/product\/StoreProductServices.php -> save() services\/product\/product\/CopyTaobaoServices.php -> downloadCopyImage() services\/product\/product\/CopyTaobaoServices.php -> downloadImage() services\/upload\/storage\/Local.php -> steam() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 通过商品详情的slider_image<\/code>和attrs<\/code>参数触发<\/li> 需要设置type=-1<\/code>绕过某些校验<\/li> 同样的文件拉取和保存机制<\/li> <\/ul> 4. 后台任意文件上传（视频上传功能）<\/h3> 漏洞位置<\/strong>：<\/p> services\/system\/attachment\/SystemAttachmentServices.php -> videoUpload() adminapi\/controller\/v1\/file\/SystemAttachment.php -> videoUpload() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 使用move_uploaded_file()<\/code>函数<\/li> 文件名拼接时使用未过滤的chunkNumber<\/code>参数<\/li> 允许路径穿越攻击<\/li> <\/ul> 复现步骤<\/strong>：<\/p> 后台路径：商品->商品管理->添加商品->编辑器上传视频<\/li> 抓包修改： chunkNumber<\/code>为.php<\/code><\/li> file<\/code>内容为PHP代码<\/li> filename<\/code>可包含路径穿越字符(如..\/<\/code>)<\/li> <\/ul> <\/li> 文件保存路径：\/uploads\/attach\/${年}\/${月}\/${日}\/${filename}__.php<\/code><\/li> <\/ol> 修复建议<\/strong>：<\/p> 严格校验上传文件类型<\/li> 过滤特殊字符和路径穿越<\/li> 使用随机生成的文件名<\/li> <\/ul> 0x03 中危漏洞分析<\/h2> 1. 前台SSRF（获取图片base64功能）<\/h3> 漏洞位置<\/strong>： common.php -> image_to_base64()<\/code><\/p> 漏洞详情<\/strong>：<\/p> 使用curl_exec()<\/code>发起请求<\/li> 支持多种协议：gopher、ldap、file等<\/li> 可通过code<\/code>参数传递恶意payload<\/li> <\/ul> 复现POC<\/strong>：<\/p> { <\/span><\/span> "image"<\/span>:"?.jpg"<\/span>, <\/span><\/span> "code"<\/span>:"gopher:\/\/127.0.0.1:18000\/_POST%20%2Fflag.php%20HTTP%2F1.1%0A%0DHost%3A%20127.0.0.1%3A18000%0A%0DContent-Type%3A%20application%2Fx-www-form-urlencoded%0A%0DContent-Length%3A%2036%0A%0D%0A%0Dkey%3D00f001523d0b955749ea5e3b0ca09b5f.jpg"<\/span> <\/span><\/span>} <\/span><\/span><\/code><\/pre>2. 任意用户注册（apple快捷登陆）<\/h3> 漏洞位置<\/strong>：<\/p> api\/controller\/v1\/LoginController.php -> appleLogin() services\/wechat\/WechatServices.php -> appAuth() services\/wechat\/WechatUserServices.php -> wechatOauthAfter() services\/user\/UserServices.php -> setUserInfo() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 仅需提供openId<\/code>参数即可注册<\/li> 默认不强制绑定手机号(store_user_mobile=0<\/code>)<\/li> 自动生成邮箱等用户信息<\/li> <\/ul> 复现POC<\/strong>：<\/p> {"openId"<\/span>:"asdasdasdqweqwe"<\/span>} <\/span><\/span><\/code><\/pre>3. 后台SQL注入（查看表接口详细功能）<\/h3> 漏洞位置<\/strong>：<\/p> services\/system\/SystemDatabackupServices.php -> read() adminapi\/controller\/v1\/system\/SystemDatabackup.php -> read() <\/code><\/pre> 漏洞详情<\/strong>：<\/p> 直接拼接tablename<\/code>参数到SQL语句<\/li> htmlspecialchars<\/code>无法过滤SQL注入字符<\/li> 通过\/adminapi\/system\/backup\/read?tablename=<\/code>触发<\/li> <\/ul> 复现步骤<\/strong>：<\/p> 后台路径：维护->开发工具->数据库管理<\/li> 点击"详细"按钮抓包<\/li> 修改tablename<\/code>参数为注入payload<\/li> <\/ol> 0x04 总结与建议<\/h2> 发现的安全问题总结<\/h3> 多处文件操作功能未严格校验文件类型和路径<\/li> 使用危险函数(readfile<\/code>, move_uploaded_file<\/code>)时缺乏防护<\/li> 用户身份验证机制存在缺陷<\/li> SQL查询未使用预编译语句<\/li> 存在SSRF风险的外部请求功能<\/li> <\/ol> 整体修复建议<\/h3> 输入验证<\/strong>：<\/p> 所有用户输入都应进行严格校验<\/li> 使用白名单而非黑名单机制<\/li> 对文件操作相关参数进行多重校验<\/li> <\/ul> <\/li> 安全函数使用<\/strong>：<\/p> 替换危险函数或增加安全防护<\/li> 文件操作限制在特定目录<\/li> 使用预编译SQL语句<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 加强身份验证机制<\/li> 关键操作增加二次验证<\/li> 实现最小权限原则<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 记录敏感操作日志<\/li> 设置异常行为告警<\/li> 定期审计系统日志<\/li> <\/ul> <\/li> <\/ol> 0x05 法律声明<\/h2> 本报告仅用于安全研究和技术交流<\/li> 禁止用于非法用途<\/li> 测试需获得系统所有者授权<\/li> 请遵守《网络安全法》等相关法律法规<\/li> <\/ul> 注<\/strong>：文中涉及的漏洞已报送至CNVD、CNNVD平台。<\/p>

CRMEB开源版v5.1.0代码审计报告<\/h1>

0x00 前言<\/h2> CRMEB开源商城系统是一款全开源可商用的PHP系统。本报告详细记录了在v5.1.0版本中发现的多项安全漏洞，包括高危的远程文件操作、文件上传漏洞，以及中危的SSRF、SQL注入等问题。<\/p>

0x02 高危漏洞分析<\/h2>

0x03 中危漏洞分析<\/h2>

0x04 总结与建议<\/h2>

0x05 法律声明<\/h2> 本报告仅用于安全研究和技术交流<\/li> 禁止用于非法用途<\/li> 测试需获得系统所有者授权<\/li> 请遵守《网络安全法》等相关法律法规<\/li> <\/ul> 注<\/strong>：文中涉及的漏洞已报送至CNVD、CNNVD平台。<\/p>

0x00 前言<\/h2>
CRMEB开源商城系统是一款全开源可商用的PHP系统。本报告详细记录了在v5.1.0版本中发现的多项安全漏洞，包括高危的远程文件操作、文件上传漏洞，以及中危的SSRF、SQL注入等问题。<\/p>

0x05 法律声明<\/h2>

本报告仅用于安全研究和技术交流<\/li>
禁止用于非法用途<\/li>
测试需获得系统所有者授权<\/li>
请遵守《网络安全法》等相关法律法规<\/li> <\/ul>
注<\/strong>：文中涉及的漏洞已报送至CNVD、CNNVD平台。<\/p>