PHP代码审计(chinaz)

最新推荐文章于 2024-04-23 08:00:00 发布
最新推荐文章于 2024-04-23 08:00:00 发布
阅读量383 收藏 2
点赞数
分类专栏: php代码审计 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNiamcoming/article/details/114376961
版权

PHP代码审计(chinaz)

一、准备文件

chinaz CMS源码

rips、seay打包

二、整体分析

如下图所示,chinaz没有采用MVC框架,所以比较易于分析
在这里插入图片描述

可以看到网页主要功能文件直接放到了根目录下,然后 library 目录存了一些类文件,值得注意的是 logs 目录,里面存放着日志文件,但是扩展名为 php,虽然用 .htaccess 防止了 php 的解析
在这里插入图片描述

三、任意文件包含+getshll

1. 使用 rips 扫到任意文件包含,如图
在这里插入图片描述

虽说是任意文件包含,其实只能读包含扩展名为 php 的文件,虽然在 php5.3.4 以下的版本可以使用 00截断,但是我用的是 5.4。其实之前有注意到日志文件的扩展名为 php,而日志文件的内容很可能是可控的。

暂且不管,先走完流程

2. 在 phpstorm 中分析代码
在这里插入图片描述
Ctrl + 右键,跟踪 filter 函数
在这里插入图片描述

代码简单易懂,我们以 POST 方式传入 page,使用 filter 过滤参数中的 .,在末尾拼接 .php ,然后调用 require_once 包含文件,虽然限制了我们使用目录穿越,但是还是可以使用绝对路径绕过。

3. 分析日志文件,尝试写马

使用 Ctrl + Shift + F 全局搜索 logfile.php,观察在哪里写入了日志文件
在这里插入图片描述
进入config.php,继续全局搜索 $cfg_logfile
在这里插入图片描述

在 common.php 中,继续跟进
在这里插入图片描述

找到了写入日志文件的函数为 write_log(),Ctrl + 右键 查看函数调用
在这里插入图片描述

在该文件的 loadFile() 函数中找到了调用,loadFile 获取一个参数,如果该参数不是一个文件,则会调用 write_log(),写入日志,而日志内容包含所获取的参数,继续查看 loadFile() 的调用
在这里插入图片描述

在 view.php 的 echoContent() 中找到调用,并且观察到 loadFile() 参数的一部分来自于 echoContent 的第一个参数
在这里插入图片描述

在 index.php 中找到 echoContent 的调用,经过刚才的分析可知,$data['page'] 若不存在,则会被写入日志。而 $data['page'] 来自于 $_GET['page'],filter 函数只过滤了 点,影响不大
在这里插入图片描述

访问 /index.php?page=<?php phpinfo(); ?>,页面报错,并且 <?php phpinfo(); ?> 被写入日志
在这里插入图片描述
在这里插入图片描述

4. 利用前面的文件包含去解析马儿

POST page=/logs/logfile,成功解析
在这里插入图片描述

四、命令执行

可以看到 seay 扫到很多命令执行漏洞,随便找了一个跟踪
在这里插入图片描述

定位到 view.php 的第60行,通过回溯,找到函数的调用顺序:在 index.php 中调用 viwe:echoContent,echoContent 继续调用 view:ParseIf,因为在 echoContent 中传入的参数为 $_GET[‘page’] 所以尝试传入 ?page=xxx 观察变量 $strIf,结果如下
在这里插入图片描述

其中xxx为传入的 page,如果传入 1") 可以向前闭合,使用 // 可以注释掉后面的内容,二者中间为 if 的语句,if 恒为真,即可以执行任意命令,payload如下:

?page=1") phpinfo();die();//

使用 die() 命令,可以让程序在第一次执行 eval() 后退出程序,防止命令多次执行,和出现页面不存在的图片(因为我们传入的 page 不存在),影响体验
结果如下
在这里插入图片描述

在百度变量覆盖的时候发现了一个师傅的利用方式,在此记录一下
直接盗图了,师傅勿怪(点此去师傅的博客
![

五、变量覆盖

观察到多个页面存在如下代码,有变量覆盖的危险,而 $post_data 来自于过滤后的$_POST,是用户可控的数据
在这里插入图片描述

但是我实在没找到利用的方式,最后看了前面说的师傅的博客

如图,在 normaliz.php 中存在 preg_replace(),并且三个参数都可以通过 foreach 获得,所以三个参数皆可控
在这里插入图片描述

所以师傅的 payload 如下

POST /action.php
page=normaliz&method=/xxx/e&mail_replacement=phpinfo()&source=xxx

查阅官方文档得知

PHP 5.5.0 起, 传入 “\e” 修饰符的时候,会产生一个 E_DEPRECATED 错误; PHP 7.0.0 起,会产生 E_WARNING 错误,同时 “\e” 也无法起效。

特意准备去下个 php6 来测试一下,结果意外的发现并没有实际存在的6版本

鉴于 5.5 和 7 之间,下了个 5.6 版本的,也成功执行了,但是 7 已经失效,猜测在 7 以下的版本都可以成功执行

六、总结

有位名人曾说过,“不要满足于自己所发现的,还要多研究一下别人的博客,不仅能巩固自己已有的知识,还能学到一些新的知识”

好吧 ~_~,就是我自己说的

yจุ๊บng
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php代码审计(简单的CMS,chinaz
03-04
chinaz CMS,解压即用,用于php代码审计,非MVC框架,简单入门级
chinaz.zip
01-17
php审计,awd,php审计,awd,php审计,awd
代码审计篇】代码审计基础了解
做自己喜欢的事,并将其发挥到极致!
10-19 453
本片文章主要针对Java代码审计做简单了解,审计过程和所需能力的介绍。
PHP代码审计】——开启你的代码审计生涯
Demo不是emo的博客
11-14 4901
感觉最近的网络安全学习遇到了瓶颈,因为我是学习的web安全,所以自然最先学习的就是熟悉owtop10漏洞,并且我当前的专业是软件工程,所以各种计算机语言都接触过,但都学的不深,所以网安学习越深入就越感觉代码能力的重要性,所以我决定将当前的重心转到代码审计上,了解漏洞形成原因的同时,增加自己对php语言的理解,加油
代码审计-PHP原生开发篇&SQL注入&数据库监控&正则搜索&文件定位&静态分析
最新发布
siu~
04-23 322
1、PHP审计-原生态开发-SQL注入&数据库语句监控 2、PHP审计-原生态开发-SQL注入&正则匹配搜索 3、PHP审计-原生态开发-SQL注入&功能追踪
php代码审计php漏洞详解
qq_47289634的博客
08-10 1313
HTTP 响应拆分是由于攻击者经过精心设计利用电子邮件或者链接,让目标用户利用一个请求产生两个响应,前一个响应是服务器的响应,而后一个则是攻击者设计的响应。此攻击之所以会发生,是因为 WEB程序将使用者的数据置于 HTTP 响应表头中,这些使用者的数据是有攻击者精心设计的。session 保存的是每个用户的个人数据,一般的 web 应用程序会使用session 来保存通过验证的用户 账号和密码。一旦获取到 session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
DAY31:代码审计基础( PHP 篇)
qq_49433473的博客
08-15 2290
php代码审计代码审计基础,代码审计思路及工具
来自chinaz的ajax获取评论代码
09-06
chinaz利用了ajax实现评论的读取操作,下面我们参考chinaz的代码
基于PHP的仿chinazphp版Alexa排名查询工具.zip
07-25
基于PHP的仿chinazphp版Alexa排名查询工具.zip
基于PHP的仿chinazphp版Alexa排名查询工具源码.zip
10-10
基于PHP的仿chinazphp版Alexa排名查询工具源码.zip
php代码审计
03-28
代码审计
【网络安全php代码审计-sql注入进阶篇
aobulaien001的博客
01-29 967
经过上一篇文章我们已经大概的了解sql注入去怎样审计了。但是在实际的网站中和用户的输入输出接口不可能想那样没有防御措施的。现在各大网站都在使用waf对网站或者APP的业务流量进行恶意特征识别及防护,,避免网站服务器被恶意入侵。所以我们就需要绕过waf,这篇文章就用代码审计的方式给大家讲解一些sql的绕过技巧。1️⃣零基础入门① 学习路线对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。② 路线对应学习视频。
代码审计 PHP代码理解.
网络安全领域___专研者.
03-21 4047
PHP语言的 概括: (1)PHP 是可以创建动态交互性站点的强有力的服务器端的脚本语言。 (2)PHP可以做很多东西,特别是web网站开发,也可以使用的非常广泛。能够快速,灵活,实用使得PHP语言可以更好的开发任何网站。 (3)PHP 是一种 HTML 嵌入式的脚本语言。php文件以.php结尾。PHP语言的很多语法来自 C,Java 和 Perl,并具有几个 PHP 独有的特点。PHP语言的主要目标是让 Web 开发程序员可以快速的书写动态生成的网页。
php代码审计phpstorm动态调试环境配置
st3pby的博客
11-14 1397
php代码审计phpstorm动态调试环境配置
代码审计利器-RIPS实践
热门推荐
Yale的博客
05-31 1万+
什么是RIPS? RIPS是最流行的静态代码分析工具,可自动检测PHP应用程序中的漏洞。 通过对所有源代码文件进行标记化和解析,RIPS能够将PHP源代码转换为程序模型,并检测在程序流程中可能被用户输入(受恶意用户影响)污染的敏感接收器(可能易受攻击的功能)。 除了发现漏洞的结构化输出外,RIPS还提供了一个集成的代码审计框架。 目前最新版本为0.55 作为审计工具,自然需要有源码供其审计,这里以...
PHP代码审计
tpriwwq的专栏
01-01 671
PHP代码审计
利用PHPstorm进行代码review
Ivan_Lin blog
05-29 2319
分享两个在工作中很常用的技巧,代码管理这里用的是svn。review代码:在commit之前,一般要review一下代码,确保你没有手抖改了不该动的代码。在PHPstorm里按ctrl+k,会弹出代码review界面。点击箭头处的按钮,review代码review完点击commit,才提交。谁动了代码:出了bug,你发现你的代码被人动了,这个时候就要追踪下是谁动了。点开PHPstorm导航栏,vc...
代码审计工具简单汇总
duangduang2020的博客
01-18 3679
一:php工具 使用zend studio、Phpstorm等工具可以分析调试PHP程序,UE经过配置之后也可以调试执行PHP程序。 二:seay、RIPS、Findbugs、Fortify SCA是源代码审计工具。 seay是基于.net framework2.0 RIPS是PHP语言编写,在浏览器执行时,需要高版本,在IE6上执行错误,firefox木有问题 Findbugs
chinaz1.json导入mongodb的代码
06-12
这里提供一个简单的Python代码示例,可以将名为chinaz1.json的JSON格式数据导入到MongoDB数据库中: ```python import json from pymongo import MongoClient # 连接MongoDB数据库 client = MongoClient('mongodb:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值