淡然点图标系统注入审计

发表于2024-06-19|更新于2024-12-30|代码审计

|总字数:970|阅读时长:3分钟|浏览量:|评论数:

环境搭建

phpstudy 2018
php-5.4.45 + Apache
phpstrom 2018
Seay代审系统工具
CMS源码：淡然点图标系统

审计过程

先对主页进行刷新，触发sql语句执行，从而在mysql监控工具中截获到sql语句

观察sql语句中是否有可能可控的变量，经分析，”127.0.0.1“处可能是可控变量

跟进这条sql语句，验证该处的”127.0.0.1”是否可控，复制这条语句，在phpstrom打开该源码项目，全局搜索(ctrl + shfit + f)引号部分

1	"SELECT * FROM `dd` WHERE `ip` LIKE " # '127.0.0.1'LIMIT 0 , 30

成功定位到了具体文件 php/function.php，进一步跟进代码

可以看到是在ywdd函数中执行了sql语句，传入了$ip参数，为了看$ip怎么来的，是否可控？需要继续跟进ywdd函数怎么实现的

全局搜索或者转到ywdd()函数实现，可以看到 ywdd(getIP()) 说明$IP是来自getIP()函数的返回值，但getIP()怎么返回的？返回的具体是什么？还是不知道，继续跟进getIP()的函数声明

可以看到，只要XFF头设置了，就把$realip变量赋值为XFF头，并作为getIP()的返回值！也就是说ywdd()中的$sql语句中的$ip是接受的XFF头，而我们知道XFF头是我们可以伪造的，是可控的，并且此处没有对XFF头进行任何过滤！于是SQL_XFF注入漏洞产生。对XFF构造sql语句，即可完成注入
简单的数据流

漏洞复现

1	$SQL="SELECT * FROM `dd` WHERE `ip` LIKE '".$ip."'LIMIT 0 , 30";

抓包
修改XFF头，加单引号，成功报错

手工注入

1	X-Forwarded-For: 127.0.0.1'union select 1,user(),3,database(),5 #

补充：继续审计

sql-ymID

先全局正则搜索sql语句，一共就几条，挨着看看哪些变量疑似可控，再对其进行跟进

1	(update\|select\|insert\|delete\|).?where.

无任何过滤直接拼接执行了sql语句，极大可能存在SQL注入

function.php：

于是再去找一下函数调用，看看$ID是否可控，跳转到ywID函数调用处

v144.php：

直接GET接收id参数，也是毫无过滤，且参数可控，那么这里就找到一处SQL注入了。

确认了sql注入存在，接下来就去找怎么触发：

v144.php：

可以看到v144.php包含了function.php，并且GET接收传参id调用了SQL注入发生的函数**ywID()**，于是：

访问v144.php，GET传参id就可以注入了：/php/v144.php?id= or 1=1 – +

然而事情并不简单……

当我访问v144.php?id=1时，确出现了这个，好家伙，这是……让我滚？

那么想必开发者应该是在此处做了某种验证吧，我们先搜索一下这个关键词，试图寻找到相关验证逻辑

跟进一下，看看写得啥逻辑

v144.php：

这个校验逻辑也很简单，就是比对一下referer是否在授权域名之中。那我们把referer字段改为host就行了。

然再访问/php/v144.php?id=1，发现绕过了刚才的校验，但是缺失了未知参数：

那么还是如法炮制，去全局搜索”请输入完整”，寻找校验逻辑

v144.php：

还是很简单的逻辑，判断几个参数是否为空，只要有一个为空就退出

那么只需要按要求填充每个参数即可

/php/v144.php?api=ok&u=1&p=1&id=1

这样就可以开始注入了，购买失败是因为参数不是正确的编号

无回显位，要用盲注，sqlmap即可

sql-ywX

同理，这里也是一处

function.php：

v144.php：

还有几处很相似的注入就不再重复了

文章作者: X1ly?S

文章链接: https://x1lys.github.io/2024/06/19/淡然点图标系统注入审计/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 X1ly?S！

代码审计案例

技术交流，互相学习

联系我

相关推荐

BlueCMS审计审计过程还是采用正则搜索sql语句的方式，一个一个找可控变量 ad_js.php 这里很明显，ad_id参数值可控，然后又是直接拼接的sql语句，拿给getone函数去执行，那么再跟进看看getone函数写了什么过滤逻辑没有很好，没有过滤逻辑那么来触发漏洞，存在漏洞的文件是ad_js.php，参数是ad_id，数字型注入，不用闭合引号那么直接注入就行结果输出在注释但是这里其实也是有过滤的，过滤的逻辑没有直接写在本文件中，而是在包含的文件中：这里有对输入的参数值进行转义的逻辑检查是否启用了魔术引号功能，如果没有启用，则用自定义的函数对输入的参数进行引号等符号转义，跟进一下deep_addslashes函数如果参数是数组类型，则递归处理数组每一个元素，都进行引号等符号的转义使用php内置的addslashes函数进行转义 123456addslashes() 是 PHP 的一个内置函数，用于向字符串中的特殊字符添加反斜杠（\），以便它们可以在某些上下文中被安全地使用。具体来说，它会为以下字符添加反斜杠：单引号...

BlueCMS-前台盲注

前言：俺开始学代码审计了，之前一直在黑盒方面学习，黑盒漏洞挖掘，没有接触过白盒，于是开始学习代码审计。【PHP代码审计项目】系列是一些用来学习练手的CMS的审计笔记，写的不好，但是也是一个记录吧，多年之后再看也是会感慨万千吧哈哈，最后学习完了代码审计我会写一个总结性的文章，还望各位大佬师傅轻喷，欢迎随时指教小弟…… 审计环境 phpstudy 2018 php-5.4.45 Apache 2.4.23 phpstrom...

XYHCMS审计任意文件删除导致重装漏洞

环境搭建 https://github.com/gosea/xyhcms3/releases/tag/3.5 xyhCMS3.5 20180508 php 7.0.12 Apache mysql 5.5.53 审计分析全局搜索unlink定位到一处sql文件删除代码段 123456789101112131415161718192021public function delSqlFiles() { $id = I('id', 0, 'intval'); $batchFlag = I('get.batchFlag', 0, 'intval'); //批量删除 if ($batchFlag) { $files = I('key', array()); } else { $files[] = I('sqlfilename', ''); } if...

taoCMS-后台注入

环境搭建我用的是 phpstudy2018+php-5.4.45+Apache 白盒审计手工审计审计思路选择由于功能点太多了，于是果断pass掉功能点审计法与SQL语句监控法，因为功能点太多，那么需要触发的SQL语句也会很多，一时半会还真不好找，于是我选择正则表达式审计法 1(?:SELECT|INSERT INTO|UPDATE|DELETE FROM|CREATE TABLE|DROP TABLE|ALTER TABLE)\b[\s\S]*?; 一共匹配到的有效SQL语句也就30来条左右，通过简单看看这些SQL语句，又可以排除大部分明显不可控的固定的SQL语句，那么剩下的就一条一条验证看是否可控最终觉得 **\include\Model\Datastore.php **这个文件中的一处SQL语句有点可疑开始着重审计审计过程123456789101112131415161718192021function create(){ header('Content-type:...

x5music3.0后台权限绕过审计

x5music3.0后台权限绕过审计环境搭建 https://pan.baidu.com/s/1lDhkA_59Vcc3MnM2lsmlxg?pwd=e9jc x5music v3.0 Apache php 5.5.38 mysql 5.5.53 审计分析首先登录看看管理员页面，后台地址是 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php 接着我们注销管理员账号，再次访问 http://127.0.0.1/cms/x5music3.0/x5admin/admin_index.php，提示我们重新登录，说明这些管理员的页面肯定是有一些鉴权的函数的（废话肯定有啊），接着我们跟进到代码层去找到那个鉴权函数，看看是否能绕过，使得我们不知道管理员密码也能登录管理员账号既然后台是/x5admin/admin_index.php...

新起点网校审计getshell

环境部署宝塔一键部署新起点网校3.0.5以下版本审计分析全局搜索upload关键字，最终在api模块的uploader控制器的uploadfile方法里发现端倪定义了上传成功的路径...

评论