工具🔧
seay源代码审计系统
phpstudy——搭建环境
前言
🌸//原文:
【小迪安全】Day50代码审计-PHP无框架项目SQL注入挖掘 - 哔哩哔哩点击进入查看全文>https://www.bilibili.com/read/cv14964585
【小迪安全】Day51代码审计-PHP框架MVC类上传断点调试 - 哔哩哔哩点击进入查看全文
https://www.bilibili.com/read/cv15042607?spm_id_from=333.999.0.0【小迪安全】Day52代码审计-PHP项目类RCE及文件包含下载删除 - 哔哩哔哩点击进入查看全文>https://www.bilibili.com/read/cv15169189?spm_id_from=333.999.0.0
0x00 相关原理分析要求
1.教学计划:
---审计项目漏洞 Demo->审计思路->完整源码框架->验证并利用漏洞
2.教学内容:
---PHP,JAVA 网站应用,引入框架类开发源码,相关审计工具及插件使用
3.必备知识点:
---环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用
4.开始前准备:
---审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等
5.挖掘漏洞根本:
---可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞
🌟🌟6、定点挖掘关键词
---可控变量
变量接受get post 接受关键字$_GET
---特定函数
输出print
数据库操作
---特定关键字
select insert update sql执行语句==sql 注入漏洞
---搜索特定关键字尝试寻找特定漏洞
如:echo print xss漏洞
如:$_GET $_POST 安全漏洞
🌟🌟7、定点挖掘功能点:
🌹如:我要挖掘文件上传,会员中心存在文件上传操作,抓包分析源码中特定文件上传代码段,进行分析。
🌟🌟8、拓展: 视漏洞而定
🌹sql注入 数据库监控-监控到当前页面和数据库的交互过程(sql执行语句)
🌹断点调试 访问页面对应代码进行断点调试(执行过程先后顺序,调用文件列表等)
0x01 sql注入漏洞点判断(php无框架)
1、分析:
(1)查找关键词如select,掠过定量处,分析存在变量的代码处;回溯调用函数,注意有传参的位置,是否有过滤,是否有预编译,以及通过查看代码反馈信息的方式来具体判断存在哪一种注释。
(2)看过滤机制。一般过滤机制在类似incloud等配置文件中(一般是全局性的,可以看看大部分代码中都共同引用了什么配置文件)
ps:二次注入(解决转义的过滤)与宽子节注入(核心:传一个字符将反斜杠吃掉成为汉字)可绕过php魔术引导机制(magic_quotes_gpc),原理如下:
2、研判:
(1)是否存在预编译(防御sql注入最好的办法,就是使用预编译,绑定变量);
(2)是否使用安全的存储过程(效果和预编译相似,区别是存储过程需先将sql语句定义在数据库中,但仍然需尽量避免使用动态sql语句,如无法避免,应严格过滤);
(3)是否检查数据类型,严格限制数据格式;
(4)是否使用足够安全的编码函数;
🌟 🌟 如不满足以上四种中任何一种,可判断为存在sql注入。
3、防御:
(1)正确使用参数化api进行sql查询(推荐)
(2)如需求是提交非字符串,可进行数据类型校验,如:用户输入整数还是浮点数时进行数据类型验证,输入邮箱则严格按照邮箱格式等类似白名单的输入检查方式。
(3)使用安全函数
###ps:不推荐黑名单,黑名单防御方式易被绕过,防不胜防。
4、案例分析思路
(1)74CMS 人才招聘系统挖掘-2 次注入应用功能(自带转义) 🌸🌸🌸🌸🌸🌸🌸🌸🌸🌸
🌹分析源代码发现有自带过滤机制(common.php文件);
🌹过滤机制是魔术引导;
🌹联想到二次注入和宽子节注入绕过;
🌹分析了二次注入的原理之后选取网站同时存在insert、update且变量可控的功能点;
🌹对二次注入功能点抓包分析;
🌹使用seay代码审计系统——审计插件——mysql监控——输入用户名和密码——点击下断、更新(为了直观的看到存在二次注入的功能点);
🌹在页面中可能存在二次注入功能点(insert+updata+变量可控,取出首次提交的数值后,更新时又将数值带入数据库中)的地方点击按钮,进行查看;
🌹如果可以找到满足二次注入的功能点,进行验证。
(2)苹果 CMS 影视建站系统挖掘-数据库监控追踪(自带过滤) 🌸🌸🌸🌸🌸🌸🌸🌸🌸🌸
🌹根据url的index.php?m=vod-search进行代码审计
🌹对m参数进行一系列分析后定位到过滤文件module中的vod.php
🌹追踪到chksql,又定位到过滤函数stopattack,进一步定位到过滤关键字的语句getfilter,然后进行全局搜索,发现过滤的关键字
//总结:搜索框追踪到sql语句,sql语句追踪到特定文件vod.php,特定文件里追踪到调用函数chksql,chksql进行右键函数定位追踪到该函数模块,该函数模块又涉及到stopattack,再次右键定位函数发现匹配关键字的函数模块,关键字又是从哪来的?是刚刚stopattack函数模块中调用的getfilter参数,对getfilter参数右键定位,即查询到过滤关键字的语句。
❤️tips1:管他丫的,就是找就对了,各种溯源
❤️tips2:双重编码可对此处过滤进行绕过。
0x02 php框架mvc类上传断点调试(文件上传
)
1、mvc框架简介
MVC的全名是Model View Controller,是一种使用模型-视图-控制器设计和创建web应用程序的模式,是一种设计典范。
其中:
Model(模型):是应用程序中用于处理应用程序数据逻辑的部分,通常负责与数据库直接进行 curd 的交互。
View(视图):是应用程序处理数据显示的部分,通过将处理好的数据进行渲染。
Controller(控制器):是应用程序中处理用户交互的部分,通常用于处理数据逻辑的分发,并相应的反送给视图和控制器。
2、总体思路
(1)关键词搜索(函数,键字,全局变量等)
文件上传:$_FILES,move_uploaded_files等
文件上传的关键字:在写上传的时候会有注释,如//上传
(2)应用功能处抓包(任何可能存在文件上传的功能点),对此处代码进行分析。
全局数组$_ _FILES
$_ FILES['myFile']['name'] 显示客户端文件的原名称。
$_ FILES['myFile' ]['type']文件的MIIME类型,例如"image/gif" 。
$_ FILES['myFile']['size']已 上传文件的大小,单位为字节。
$_ _FILES['myFile' ]['tmp_ _name'] 储存的临时文件名,一 般是系统默认。
$_ FILES['myFile']['error'] 该文件上传相关的错误代码。以下为不同代码代表的意思:
0;文件上传成功。
1;超过了文件大小php.ini中即系统设定的大小。
2;超过了文件大小MAX_ _FILE_ _SIZE 选项指定的值。
3;文件只有部分被上传。
4;没有文件被上传。
5;上传文件大小为0。
相关函数
move uploaded file(file, newloc)函数将上传的文件移动到新位置。
strtolower()函数把字符串转换为小写。
trim()函数移除字符串两侧的空白字符或其他预定义字符。
strrchr()函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
str ireplace() 函数替换字符串中的一些字符(不区分大小写)
getimagesize()函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回FALSE并产生一条E_ WARNING级的错误信息。
exif jimagetype()读取一个图像的第一个字节并 检查其签名。
substr()函数返回字符串的一部分。
fopen()函数打开文件或者URL。
fread()函数读取文件(可安全用于二进制文件)。
fwrite()函数写入文件(可安全用于二进制文件)。
3、文件上传代码审计研判
(1)文件可上传
(2)知道文件上传路径
(3)上传文件可以被访问
(4)上传文件可以被执行
4、防御方案及缺点
(1)黑白名单
容易被绕过,所以基本被白名单验证所淘汰。不推荐黑名单,因为大部分都不全,总有奇奇怪怪的绕过姿势。
(2)文件头验证
进行验证,在1.gif文件中,我们写入文件头GIF89a,文件内容随便写,我们发现这个文件被判断为GIF文件,返回了尺寸数组。
(3)content-type验证
content-type位于request请求里,是我们抓包后可以自行修改的内容。
(4)上传文件重命名
将用户上传的文件重命名是一种安全程度较高的防御方式,我们一般采用hash(文件名+时间戳+salt随机数)的方式对文件重命名。入侵者在不清楚自己的木马命名的时候就很难连接进行攻击了。
5、案例分析思路
(1)Beescms 无框架后台任意文件上传🌸🌸🌸🌸🌸🌸🌸
---进入首页——后端
---在源代码中搜索关键字:上传,搜索函数$_FILES(直接搜索没有,把$去掉,灵活变通)
---点击其中一个查看(这里是一个文件上传的处理过程)
---浏览器访问该文件
---上传一个doc文件抓包分析看传递的参数
---传递的参数:文件说明:file_info和uppic,传递的表单名为up
---在源代码里面查找这两个参数,出现文件上传的代码段。
(tips:
❤️ 如果uppic的参数存在,就传递表单名up;
❤️ fl_html里面将传递的字符串利用htmlspecialchars将特殊字符转换为 HTML 实体;
❤️explode 使用一个字符串分割另一个字符串,这里将$_type_file以|分割,前面有有一个$_type_file函数,将允许的文件格式以|分割);
❤️$_sys文件是一个数组,包含上传文件的大小,和文件类型;
❤️ is_uploaded_file()函数检查指定的文件是否是通过 HTTP POST 上传的。如果文件是通过 HTTP POST 上传的返回 TRUE,可以用来确保恶意的用户无法欺骗脚本去访问本不能访问的文件;
❤️ $_FILES['up']['tmp_name']是is_uploaded_file()要检查的文件,up是要上传的表单名,tmp_name变量中的值就是文件在Web服务器中临时存储的位置(上传文件的临时保存文件)。)
---确定文件的大小限度(这里是系统设置的值);
--- up_file处理上传的文件,并且验证是否符合上传标准;
---根据up_file返回值(返回的字典形式)确定文件的路径、扩展名、大小、时间;
---最后在进行数据库的插入操作;
---定位函数up_file(进行相关的验证);
---传递了三个参数:表单名,文件大小,文件类型;
---确定文件的大小不超过系统设置的文件大小;
---pathinfo() 函数以数组的形式返回关于上传的文件路径信息,如/testweb/test.txt,生成数组:[dirname] => /testweb;[basename] => test.txt;[extension] => txt;[filename] => test;
---查看上传的文件的后缀名是不是在系统规定的后缀里面;
---判断path=’’的话,就上传到upload/file/路径下(如果path没传参的话默认为空,有参数的话就是参数值);
---file_exists检查文件或者目录是否存在,不存在就创建目录;
---再根据时间戳生成文件名;
---这里的关键就是绕过pathinfo函数,让php文件的格式的能够最后检测;
---尝试绕过均不成功,无法上传。
3714
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
