网络安全：记一次安全审计

前言这周利用晚上时间，看了一下 wuzhicms，该 cms 好像已经停更了，源码在官网上给了百度网盘地址，拿来本地搭建审计，分享一下，欢迎师傅们来指导。

1. 敏感信息泄露直接后台挂个链接，这个很可以：

代码中：

【一>所有资源获取<一】1、200 份很多已经买不到的绝版电子书 2、30G 安全大厂内部的视频资料 3、100 份 src 文档 4、常见安全面试题 5、ctf 大赛经典题目解析 6、全套工具包 7、应急响应笔记 8、网络安全学习路线

2. 两个后台 sqli 这个应该不止这两个地方，时间有限，我就找到这么两个，有师傅强的话可以找全试试。

• www\api\sms_check.php 中：

  
  传参 param 给 $code，然后直接拼接到 sql 语句中，导致 sqli:
  
  
  

• coreframe\app\promote\admin\index.php 中：

  
  获取 $keywords 直接拼接到 sql 语句中，导致 sqli:
  
  3. 后台任意文件读取、删除 coreframe\app\attachment\admin\index.php 中存在 dir 方法：
  
  分析逻辑发现，将../，./，.\，..\替换成空再添加/结尾，这里可以通过多写绕过：
  
  同时发现读取到的文件是可以删除的，每个后面都有删除的链接。找到 del 方法：
  
  通过 url 获取路径后，检测了 ATTACHMENT_URL 参数，替换为空，

• <pre style="padding: 16px; font: 12.75px/1.6 Consolas, "Liberation Mono", Menlo, Courier, monospace; color: rgb(51, 51, 51); border-radius: 3px; display: block; margin: 0px; word-break: normal; overflow-wrap: normal; white-space: pre-wrap; background-color: rgb(247, 247, 247); border: 1px solid rgba(0, 0, 0, 0.15); box-sizing: border-box; overflow: auto;">define('ATTACHMENT_URL','http://www.wuzhicmstest.com/uploadfile/');//附件路径</pre>

• 然后没有其他过滤，传入 my_unlink：

  
  达到删除的目的。4. 这应该算是逻辑漏洞和上次看的 zzcms2021 类似的利用方法，具体可以参考https://xz.aliyun.com/t/10432www\api\uc.php 中：
  
  通过传参可以调用 uc_note 类的任意方法：
  
  可以更改用户名和密码等。5. 后台 rce 这个找了好一段时间，一直没放弃的原因就是前面找到了这么多，那没个 rce 就不完美了，后来在 cnvd 上也查到有人提交 rce，但是没有利用方法，只能自己硬着头皮找，还好找到了一个。前面做了若干尝试无果，后来直接全局搜索敏感函数，file_put_contents 就搞定了，离谱。coreframe\app\core\libs\function\common.func.php 中 set_cache 方法：
  
  写入内容没有过滤，再搜索哪里调用了 set_cache：member 模型中存在调用。
  
  发现直接获取 setting 写入缓存。利用，写入 phpinfo：
  
  
  后台访问该方法：
  
  后面全局搜索发现，同样的利用还有很多：
  
  
  
  结语若是有师傅知道还有哪里能 rce，可以请师傅带带我！