Gxlcms后台注入漏洞<CVE-2018-16436>

发布于 2018,08,20  737 次阅读


0x00 cms简介

Gxlcms新闻系统是一个以php+mysql进行开发的新闻类cms内容管理系统。

Gxlcms新闻系统的优势:前台与后台采用隔离方式,模板化设计,让只要你会前端就可以做一个新闻网站!后台设计简单明了,小白用户一看就会明白!程序功能也非常完善!

1.目前程序支持三种路由模式:静态生成,伪静态,动态;

2.支持两种存储模式:本地存储,FTP存储

3.接入百度主动推送功能!让你每篇新闻/资讯都可以及时被百度发现

4.图片水印功能:只要开启图片水印,不管是标图图片或者是内容图片统统添加水印,水印功能支持9宫格设计,让你可以随意把图片水印加到任意地方

5.数据库一键备份/还原,让你可以轻松的把网站迁移到任何服务器上

6.缓存功能:模板缓存,数据库缓存,网站页面缓存

7.友情链接:支持图片链接和文字链接

8.广告模块:只要后台添加广告后,全部js生成到前台,让你不用费事修改模板

9.采集功能,我们支持火车头采集,火车头接口已经在插件中心里面,只需要你下载后,就可以采集上万新闻内容,为了防止重名新闻,我们对接口做了细腻化的功能,支持入库重名判断,当有重名新闻自动过滤

10.扩展功能:扩展性,可以在插件中心下载,招聘模块,图集模块,会员中心模块,交友模块等等模块进行安装(开发中)

源码下载地址:http://down.chinaz.com/soft/38532.htm

Demo地址:http://news.gxlcms.com/

官网更新补丁链接:http://bbs.gxlcms.com/forum.php?mod=viewthread&tid=787&extra=page%3D1

0x01 漏洞分析

漏洞代码位于news/Lib/Admin/Action/AdminAction.class.php85


图片1.png


这里可以看到用户的id参数没有经过任何过滤就进入到了where语句,这里也没有采用数组赋值,所以直接拼接进了sql语句里,下面登录后台来删除用户,同时来抓取sql语句,看看有无过滤和单引号的包裹

访问http://127.0.0.1/news/index.php?s=Admin-Admin-Del-id-100后,来看一看sql语句


图片2.png


因此这里只能采用时间盲注。

这里使用burp来辅助证明

 

在访问http://127.0.0.1/news/index.php?s=Admin-Admin-Del-id-100时可以看到延时是0.81s

然后我们加上延时语句,访问http://127.0.0.1/news/index.php?s=Admin-Admin-Del-id-100+or+sleep(5)

图片3.png


图片4.png







这里可以看到延时已经来到了5s以上,因此这里判定存在时间盲注漏洞!

0x02 修复建议

id参数进行单引号包裹,不要采用直接拼接!




我的全部野心,就是自由的生活