前言:
非常基础的代码审计练习的cms系统,适合有php基础的审计新手练习,当然了该套cms还有不少的其他漏洞,这里该篇文件只是介绍Union注入。
准备环境:
phpstudy工具
BlueCms1.6源码
Sublime编辑器安装了Ctags插件
代码审计:
首先主页面index.php代码如下,可以看到开头便引用了2个文件,一个是include/common.inc.php
和include/index.fun.php
文件。
这里做好标记即可,随后全局搜索$_GET
函数,看通过该函数接收的参数,进行审计,运气
很好第一个文件里面的参数ad_id
貌似没有进行过滤,我们找到文件点进去。
找到该文件点击进入,代码如下:
看到最开始也是包含了文件/include/commonc.inc.php
继续看下面的代码,得知当前页面确实是对参数ad_id
进行过滤,首先通过过函数trim()
将变量$ad_id
的首位去空,如果参数ad_id
的值为空的话,则直接输出Error
。否则就进入下面的语句进行判断,并且通过函数str_replace()
过滤双引号字符等,但是通过sql代码得知,当前语句中参数$ad_id
是数字型的,所以我们构造的sql语句是不需要进行闭合的,那么下面的str_replace()
函数没太大用,最后输出$ad_contenet
的值。
接下来进入包含文件/include/commonc.inc.php
看看该文件做了什么操作。
可以判断该文件应该是全局文件,通过if语句判断是否开启了GPC转义,如果未开启GPC转义,则所有的$_POST,$_GET,$COOKIE,$REQUEST
方法都进入到了deep_addslashes()
函数。
跟进deep_addslashes()
函数,代码如下:
将传入的参数首先判断是否为数组,如果是数组则进行遍历,最后进行addslashes()
转义。
上面也和大家强调过了ad_js.php
文件中$ad_id
的注入是整型注入的,所以是不需要闭合单引号,那么这里的函数转义对我们其实也没影响的。接下来回到文件ad_js.php
找到对应的函数进行跟踪,可以看到语句进入了函数getone()
函数中。
跟进getone()函数,查看函数内容,传入的参数是$sql,就是sql语句,但是执行却是在函数query()
中执行的。
跟进函数query()
查看函数内容得知传入sql语句,如果sql语句执行错误,则进入函数dbshow()
中返回错误信息,跟进dbshow()
函数
dbshow()
函数的代码如下:
就是一个返回错误信息的功能,如果sql语句执行出错,直接返回sql语句。
那么此时我们打开浏览器,在本地搭建好BlueCms后,浏览器访问构造参数为ad_id=1'
看到浏览器确实是返回了错误的信息,并且直接将执行的sql语句也进行了返回
由于是整型注入,所以我们直接构造语句:-1 union select 1,2,3,4,5,6,(select concat(admin_name,0x7e,pwd) from blue_admin) --+
就可以爆出后台管理账号密码。