臨近9月底，seacms官方升級(jí)海洋cms系統(tǒng)到9.95版本，我們SINE安全在對(duì)其源碼進(jìn)行網(wǎng)站漏洞檢測(cè)的時(shí)候發(fā)現(xiàn)問題，可導(dǎo)致全局變量被覆蓋，后臺(tái)可以存在越權(quán)漏洞并繞過后臺(tái)安全檢測(cè)直接登錄管理員賬號(hào)。關(guān)于該漏洞的具體詳情，我們來詳細(xì)的分析一下：

seacms主要設(shè)計(jì)開發(fā)針對(duì)于互聯(lián)網(wǎng)的站長(zhǎng)，以及中小企業(yè)的一個(gè)建站系統(tǒng)，移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，該系統(tǒng)可自動(dòng)適應(yīng)電腦端，手機(jī)端，平板端，APP端等多個(gè)用戶的端口進(jìn)行適配，代碼開源免費(fèi)，可二次開發(fā)，PHP+Mysql數(shù)據(jù)庫架構(gòu)，深受廣大網(wǎng)站運(yùn)營(yíng)者的青睞。

我們SINE安全工程師對(duì)該代碼進(jìn)行了詳細(xì)的安全審計(jì)，在一個(gè)變量覆蓋上發(fā)現(xiàn)了漏洞，一開始以為只有這一個(gè)地方可以導(dǎo)致網(wǎng)站漏洞的發(fā)生，沒成想這套系統(tǒng)可以導(dǎo)致全局性的變量覆蓋發(fā)生漏洞，影響范圍較大，seacms系統(tǒng)的安全過濾與判斷方面做的還不錯(cuò)，在其他地方放心可以平行越權(quán)，并直接登錄后臺(tái)是管理員權(quán)限。默認(rèn)變量覆蓋這里是做了安全效驗(yàn)的功能，在配置代碼里common.php的22行里可以看到對(duì)get,post,cookies請(qǐng)求方式上進(jìn)行了變量的安全效驗(yàn)，對(duì)代碼的安全審計(jì)發(fā)現(xiàn)在34行里的變量覆蓋值判斷沒有進(jìn)行KEY值的安全限制，導(dǎo)致此次漏洞的發(fā)生，我們可以利用這個(gè)值進(jìn)行全局的變量覆蓋，不管是seeion還是cfg值都可以覆蓋。

我們來驗(yàn)證下這個(gè)網(wǎng)站漏洞，搭建本地的環(huán)境，下載seacms最新版本，并使用apache+php5.5+mysql數(shù)據(jù)庫環(huán)境，我們前臺(tái)注冊(cè)一個(gè)普通權(quán)限的用戶，使用抓包工具對(duì)post的數(shù)據(jù)進(jìn)行截取，我們來覆蓋cfg_user的值來進(jìn)行管理員權(quán)限的賦值操作。我們只要賦值cfg_user不為0，就可以一直保持后臺(tái)的登陸狀態(tài)。我們直接去訪問后臺(tái)的地址，就可以直接登陸進(jìn)去。截圖如下：

有了網(wǎng)站后臺(tái)管理員權(quán)限，一般都會(huì)想上傳webshell，那么后臺(tái)我們?cè)诖a的安全審計(jì)中發(fā)現(xiàn)有一處漏洞，可以插入php語句并拼接導(dǎo)致可以上傳網(wǎng)站木馬文件，在水印圖片文字功能里，接收?qǐng)D片的注冊(cè)值時(shí)可以插入phpinfo并執(zhí)行，如下圖。

我們專注高端建站，小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn)，每一個(gè)項(xiàng)目承諾做到滿意為止，多一次對(duì)比，一定讓您多一份收獲！