yxcms漏洞复现

### Yxcms 漏洞复现方法及详情 Yxcms 是一款内容管理系统，由于其代码实现中的安全缺陷，可能导致多种漏洞，包括 SQL 注入、XSS 和会话固定等。以下是针对这些漏洞的复现方法和相关信息。 #### 一. SQL 注入漏洞复现 在 YxtCMF（与 Yxcms 类似的一款 CMS）中，前台的一个漏洞点出现在第 310 行的 `ajaxlogin` 方法中[^1]。该方法将用户的传参变为数组并直接传入 `where` 方法进行拼接，而未经过 `I` 方法的安全处理。攻击者可以利用此漏洞构造恶意参数，导致 SQL 注入。 - **复现步骤**： - 设置传参 `account[0]=exp`，使得 `account[1]` 后面的语句被解析为 SQL 语句。 - 示例 Payload：`account[0]=exp&account[1]=1) UNION SELECT 1,2,concat(user(),database()),4--` - 观察返回结果，若成功，则会显示数据库用户名和数据库名。 - **原因分析**： - 系统未对用户输入进行严格过滤，尤其是对数组形式的参数。 - `where` 方法在拼接 SQL 时未检查参数安全性，导致恶意语句被执行[^1]。 ```python # 示例代码片段 account = $_GET['account'] where_condition = "WHERE account=" . $account[0] . " AND password=" . $account[1] ``` --- #### 二. 前台 XSS 漏洞复现 Yxcms 的前台存在存储型 XSS 漏洞，具体表现为用户提交的恶意脚本未被正确转义或过滤，最终在后台审核时触发。 - **复现步骤**： - 打开链接 `http://sb.com/index.php?r=default/column/index&col=guestbook`。 - 提交包含 XSS 攻击的 Payload，例如 `<svg/onload=alleet(1)>`。 - 登录后台，查看审核页面，点击编辑按钮，触发 XSS 攻击。 - **原因分析**： - 系统未对用户提交的数据进行 HTML 转义处理。 - 后台在渲染数据时未验证来源，直接输出到页面中[^2]。 --- #### 三. 会话固定漏洞复现 Yxcms 允许通过 GET 参数自定义 `session_id`，这可能导致会话固定攻击。 - **复现步骤**： - 构造 URL，例如 `http://example.com/index.php?phpsessid=attacker_session_id`。 - 引诱目标用户访问该链接，系统会将 `session_id` 设置为攻击者指定的值。 - 攻击者使用相同的 `session_id` 登录，从而获取目标用户的会话。 - **原因分析**： - 系统允许通过 GET 参数传递 `session_id`，且未验证来源。 - 攻击者可以通过 CSRF 技术进一步扩大影响范围[^3]。 ```php // 漏洞代码示例 if (!empty($_GET['phpsessid'])) { session_id($_GET['phpsessid']); // 直接使用用户提供的 session_id } session_start(); ``` --- ### 安全建议 1. 对用户输入进行严格的过滤和验证，避免直接拼接 SQL 查询。 2. 使用框架提供的安全函数（如 ThinkPHP 的 `I` 方法）对输入数据进行处理。 3. 在输出数据时进行 HTML 转义，防止 XSS 攻击。 4. 禁止通过 GET 参数设置敏感信息（如 `session_id`），并启用 HTTP-only 和 Secure 标志。 ---