PHP 代码审计之添加管理员

最新推荐文章于 2024-04-24 20:08:22 发布
最新推荐文章于 2024-04-24 20:08:22 发布
阅读量445 收藏
点赞数
分类专栏: 代码审计 文章标签: php 代码审计 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fageweiketang/article/details/82320776
版权

0x00:前言

cms 注册用户时,存在添加管理员漏洞,记录如下。

0x01:代码追踪

首先,前台注册普通账号时,url 地址为 / user/regin.php,打开 regin.php 发现,刚开始是接收注册数据,并进行一些校验,代码如下:

if(!check::CheckUser($_POST['user_name'])) {
    check::AlertExit("输入的用户名必须是4-21字符之间的数字、字母!",-1);
}

$strWhere = "where email='".$_POST['email']."'";
$arrInfo = check::getAPI('mcenter','getUserWhere',"$strWhere^user_id");
    if(!empty($arrInfo)){
    check::AlertExit("错误:该邮箱已被使用!",-1);
}

$strWhere = "where user_name='".$_POST['user_name']."'";
$arrInfo = check::getAPI('mcenter','getUserWhere',"$strWhere^user_id");    
if(!empty($arrInfo)){
    check::AlertExit("错误:用户名已被注册!",-1);
}

$arrIllegal=array('admin','管理员','客服');
foreach($arrIllegal as $v){
    if(stripos($_POST['user_name'],$v)!==false) {
        check::AlertExit("输入的登录帐号包含非法字符!",-1);
    }
}

if(!is_numeric($_POST['mobile']) or strlen($_POST['mobile'])>12) {
    check::AlertExit("电话必须为数字并且不能大于12!",-1);
}

if(!check::CheckPost($_POST['postcode'])) {
    check::AlertExit("邮编不符合要求",-1);
}

if(!check::CheckPassword($_POST['password'])) {
    check::AlertExit("输入的密码必须是4-21字符之间的数字、字母!",-1);
}

if($_POST['password']!=$_POST['password_c']) {
    check::AlertExit("两次输入的密码不一致!",-1);
}

if($_POST['authCode'] != $_SESSION['captcha']){
    check::AlertExit("错误:验证码不匹配!",-1);
}

都是一些基本的校验,且用户名过滤了特殊符号,继续往下,处理代码如下:

$_POST['user_name'] = strip_tags(trim($_POST['user_name']));
if(!empty($arrGWeb['user_pass_type']))    $_POST['password'] = check::strEncryption($_POST['password'],$arrGWeb['jamstr']);
else $_POST['password'] = $_POST['password'];
$_POST['real_name'] = strip_tags(trim($_POST['real_name']));
$_POST['nick_name'] = strip_tags(trim($_POST['nick_name']));
$_POST['postcode'] = $_POST['postcode'];
$_POST['mobile'] = $_POST['mobile'];
$_POST['email'] = $_POST['email'];
$_POST['corp_name'] = $_POST['corp_name'];
$_POST['contact_address'] = $_POST['contact_address'];
$_POST['question'] = $_POST['question'];
$_POST['answer'] = $_POST['answer'];
$_POST['sex'] = $_POST['sex'];
$_POST['tel'] = $_POST['tel'];
$_POST['province'] = $_POST['province'];
$_POST['city'] = $_POST['city'];
$_POST['area'] = $_POST['area'];
$_POST['user_ip']        = check::getIP();
$_POST['submit_date']    = date('Y-m-d H:i:s');
$_POST['session_id'] = session_id();

$intID = $objWebInit->saveInfo($_POST,0,false,true);
if ($intID) {
    $_SESSION['user_id']    = $intID;
    $_SESSION = array_merge($_SESSION,$_POST);

    $arrTemp['user_id'] = $intID;
    $arrTemp['add_date'] = date('Y-m-d H:i:s');
    $strData = check::getAPIArray($arrTemp);
    check::getAPI('mcenter','updateUser',$strData);        

    echo "<script>alert('注册完成');window.location='{$arrGWeb['WEB_ROOT_pre']}/';</script>";
    exit ();
} else {
    check::AlertExit('注册失败',-1);
}

}

功能是将其数据放到了 $_POST 数组中,然后通过 saveInfo 函数进行了保存,那么跟踪其函数,代码如下:

function saveInfo($arrData,$isModify=false,$isAlert=true,$isMcenter=false){    
    if($isMcenter){
        $strData = check::getAPIArray($arrData);
        if(!$intUserID = check::getAPI('mcenter','saveInfo',"$strData^$isModify^false")){
            if($isAlert) check::AlertExit("与用户中心通讯失败,请稍后再试!",-1);
            return 0;
        }
    }
    $arr = array();
    $arr = check::SqlInjection($this->saveTableFieldG($arrData,$isModify));
    if($isModify == 0){
        if(!empty($intUserID)) $arr['user_id'] = $intUserID;
        if($this->insertUser($arr)){
            if(!empty($intUserID)) return $intUserID;
            else return $this->lastInsertIdG();
        }else{
            if($blAlert) check::Alert("新增失败");
            return false;
        }
    }else{
        if($this->updateUser($arr) !== false){
            if($isAlert) check::Alert("修改成功!");
            else return true;
        }else{
            if($blAlert) check::Alert("修改失败");
            return false;
        }
    }
}

这个函数的第一个参数 $arrData 是一个数组,也就是 regin.php 传过来的注册用户信息的 $_POST 数组,最后一个参数 isMcenter 在注册页面被调用时传入的 true,所以程序会走到 check::getAPI 这里,这个写法第一个参数传入的模块名称,第二个参数传入的是方法名,找到这个模块中的这个方法,其代码如下:

function saveInfo($arrData,$isModify=false,$isAlert=true){
    $arr = array();
    $arr = check::SqlInjection($this->saveTableFieldG($arrData,$isModify));
    
    if($isModify == 0){
        return $this->insertUser($arr);
    }else{
        if($this->updateUser($arr) !== false){
            if($isAlert) check::Alert("修改成功!");
            return true;
        }else{
            if($blAlert) check::Alert("修改失败!");
            return false;
        }
    }
}

在这个函数中,首先通过 check::SqlInjection 过滤了可能造成 sql 注入的危险字符,过滤通过后,通过 insertUser 函数进行了插入用户的操作,跟踪此函数,代码如下:

public function insertUser($arrData){
    $strSQL = "REPLACE INTO $this->tablename1 (";
    $strSQL .= '`';
    $strSQL .= implode('`,`', array_keys($arrData));
    $strSQL .= '`)';
    $strSQL .= " VALUES ('";
    $strSQL .= implode("','",$arrData);
    $strSQL .= "')";
    if ($this->db->exec($strSQL)) {
        return $this->db->lastInsertId();
    } else {
        return false ;
    }
}

这里只有一个参数 $arrData,这个参数传来的数据,就是注册页面一开始接收的用户数据 $_POST 数组,然后将相关数据进行了 sql 语句的拼接。至此,这个注册流程就走完了。

在拼接 sql 语句时,程序使用了 REPLACE INTO,而不是 INSERT INTO,根据字面理解一个是替换数据,一个是插入数据。他们的区别在于 replace into 首先会尝试插入数据到表中,如果发现表中已经有此数据(通过主键或者唯一索引去判断),则会先进行删除此数据,然后插入新数据,否则的话会直接进行插入操作。

这样的话,就会存在一个注册管理账号的漏洞,在程序中 user_id 为 1 的默认是管理员。而注册用户时,接收的数据是通过 $_POST 接收的,而并非固定的参数,这样在注册时拦截数据报可以增加一个 user_id 的参数,其值为 1,然后再通过 REPLACE INTO 语句进行插入,则可以成功替换掉管理员的账号。

0x02:渗透验证

首先,前台注册账号,然后拦截数据报,随后在参数中添加 user_id,其值为 1,然后发送给服务器,截图如下:

请输入图片描述

然后,查看数据库,发现成功替换,如下图:

请输入图片描述

0x03:修复建议

其主要原因在于注册时接收数组时数组名称为 $_POST,这样就可以随意添加参数,都会被程序处理,所以可以修改其名称,这样就会成为固定参数,再添加 user_id 就不会生效。

如果把 REPLACE INTO 替换为 INSERT INTO 呢,既然有 REPLACE INTO 的存在,那么肯定有需要的地方,当一个数据表有主键索引时,如果插入一条数据,当主键已经存在时,就会发生冲突报错,有些业务会需要先删除其数据然后再进行插入操作,这个时候 REPLACE INTO 就会派上用场。

                                                                        公众号推荐:aFa攻防实验室

                         分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。

                                                                              

aFa攻防实验室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP代码审计】——开启你的代码审计生涯
Demo不是emo的博客
11-14 4937
感觉最近的网络安全学习遇到了瓶颈,因为我是学习的web安全,所以自然最先学习的就是熟悉owtop10漏洞,并且我当前的专业是软件工程,所以各种计算机语言都接触过,但都学的不深,所以网安学习越深入就越感觉代码能力的重要性,所以我决定将当前的重心转到代码审计上,了解漏洞形成原因的同时,增加自己对php语言的理解,加油
DAY31:代码审计基础( PHP 篇)
qq_49433473的博客
08-15 2329
php代码审计代码审计基础,代码审计思路及工具
代码审计-PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘
siu~
04-24 427
文件安全挖掘点: 1、脚本文件名 2、应用功能点 3、操作关键字 文件上传,文件下载(读取),文件包含,文件删除等
PHP代码审计之环境配置
天天学安全专属博客
06-24 748
php 代码审计 如字面意思,对php源代码进行审查,理解代码的逻辑,发现其中的安全漏洞。
Day106:代码审计-PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘
qq_61553520的博客
04-06 1149
小迪安全-Day106:代码审计-PHP原生开发篇&文件安全&上传监控&功能定位&关键搜索&1day挖掘
PHP代码审计(全)
sechelper的博客
12-07 3661
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
使用PHP制作会员管理系统1
08-08
5. **我的操作日志**:管理员的所有操作都应被记录在操作日志表中,便于日后的审计和跟踪。 以上就是使用PHP和MySQL构建会员管理系统的初步步骤。在实际开发中,你还需要考虑安全性(如SQL注入防御)、错误处理、...
PHP基于Web的subversion用户管理系统(源代码+论文).rar
最新发布
05-24
3. 权限控制:系统应具备细粒度的权限管理,允许管理员为不同用户或用户组分配不同的操作权限,如读取、写入、删除等。 4. 冲突解决:当多个用户同时修改同一文件时,系统需检测并提示冲突,用户可以查看差异并选择...
PHP基于Web的subversion用户管理系统(源代码+lw).rar
04-20
例如,有些用户可能只能查看代码,而管理员则可以添加、删除用户和修改权限。 3. SVN仓库管理:用户可以通过系统浏览和管理SVN仓库,查看文件和目录的版本历史,甚至可以直接在Web界面中查看和编辑文件内容。 4. ...
基于PHP的MySQL数据库在线管理 Sidu 多国语言.zip
07-22
总结来说,"基于PHP的MySQL数据库在线管理 Sidu 多国语言"是一个用PHP编写的Web应用,它允许用户通过Web浏览器方便地管理MySQL数据库,支持多种语言,具有丰富的功能和良好的用户界面,是Web开发者和数据库管理员的...
Employee Scheduler v2.1 beta
05-14
在实际部署中,管理员需要确保服务器环境支持PHP和MySQL,并正确配置相关环境变量。同时,对源代码进行安全审计和定期更新维护,以防止潜在的安全威胁和保证软件的稳定运行。 总的来说,《员工调度器v2.1 beta》...
php代码审计(适合小白入门)
有时候,想要一块二向箔
09-01 5249
文章内容来源于:安恒信息 通用代码审计思路: 1.根据敏感关键字回溯参数传递过程(逆向追踪) ​ 检查敏感函数的参数,进行回溯变量,判断变量是否可控并且没有经过严格的过滤,这是一个逆向追踪的过程。 2.寻找可控参数,正向追踪变量传递过程(正向追踪) ​ 跟踪传递的参数,判断是否存入到敏感函数内或者传递的过程中具有代码逻辑漏洞。 3.寻找敏感功能点,通读功能点代码(直接挖掘功能点漏洞) ​ 根据自身经验判断在该应用中的哪些功能可能出现漏洞。 4.直接通读全文代码 敏感函数回溯审计: 通读全文代码
深入解析PHP代码审计技术与实战【网络安全】
kali_Ma的博客
05-09 372
登录某个网站并浏览其页面时,注意到了一些看起来不太对劲的地方。这些迹象可能是该网站存在漏洞或被黑客入侵的标志。为了确保这个网站的安全性,需要进行代码审计,这是一项专门针对软件代码进行检查和分析的技术。在本文中,我们将深入探讨代码审计的重要性和如何进行有效的代码审计
ThinkPhp学习笔记——管理员添加
iheyu(一个新手小白女PHP初学者)
06-21 706
//==========修改管理员列表地址==========↓ D:\phpStudy\WWW\niwo\application\admin\view\common\left.html 原内容 &lt;li&gt; &lt;a href="/admin/document/index.html"&gt; ...
php管理员删除 添加,管理员添加保存和删除
weixin_30903865的博客
03-10 281
摘要:// 添加管理员 public function add(){ $id = (int)input('get.id'); $data['item'] = $this->db->table('admins')->where(array('// 添加管理员public function add(){$id = (int)input('get.id');$d...
php实现人员权限管理(管理员页面)
weixin_30596343的博客
05-24 1618
控制人员权限用的最多的应该是OA办公自动化系统和像ERP,CRM,CMS这样的管理系统,就是通过控制用户的权限来控制其拥有的角色和功能,比如管理员可以拥有所有权限和功能,前台只能拥有登记和通报信息等。 一般标准的权限管理都会有5张数据表来控制,形成一个W型的连接关系,如下 看看表的结构 1.用户表2.用户角色对应表 3.角色表 4.角色功能对应表 5.功能表        ...
审计管理员权限分配
weixin_44683938的博客
01-21 2059
#visudo 修改/etc/sudoers文件,为审计用户添加查看的权限,添加内容如下: shenjiguanliyuan ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head xitongguanliyuan ALL=(ALL) ALL vi /etc/passwd 修改用户id、组id改为0 设置日志文件权限: 日志权限不得大于640 设置日志权限为
tp5------实践管理员添加列表
iheyu(一个新手小白女PHP初学者)
02-14 767
添加管理员列表: 1.在admin\view\common\left.htm下修改管理员地址 修改内容: &lt;li&gt; &lt;a href="{:url('admin/lst')}"&gt; &lt;span class="menu-text"&gt; ...
PHP代码审计:代码执行漏洞深度剖析
"php代码审计-代码执行.pdf" 这篇文档主要探讨了PHP代码审计中的一个重要主题——代码执行,这是渗透测试中常见的安全问题。通过代码审计,开发者和安全专家可以识别并修复潜在的安全漏洞,防止恶意攻击者利用这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值