安全代码审计-PHP

最新推荐文章于 2023-07-08 09:54:20 发布
最新推荐文章于 2023-07-08 09:54:20 发布
阅读量432 收藏 2
点赞数
文章标签: 渗透测试 信息安全 网络安全 安全 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kali_Ma/article/details/123338668
版权

前言:

这篇文章:该 CMS 版本是 4.2。以下漏洞均被 CNVD 收录。

环境说明:

PHP版本用 7.0.9 就好了。
image.png

SSRF:

根据功能点定向审计,在后台的工具栏有一个采集功能,根据经验这种功能一般存在 SSRF。
image.png

image.png

【一>所有资源获取<一】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

使用 python3 在本地开启简易的 http 服务。
image.png

点击下一步,果不其然存在 SSRF。
image.png

进行漏洞分析。
根据 burpsuite 抓到的请求包很容易定位到代码位置。
image.png

在文件 upload/plugins/sys/admin/Collect.php#Collect->add,POST 的参数cjurl 未做安全处理被传入到 $this->caiji->str 方法。

image.png

那么我们跟进到 $this->caiji->str 方法,但是 phpstorm 找不到定义该方法的位置。
image.png

解决办法,我们可以连续按两下 Shift 键直接寻找。
image.png

跟进到 str 方法后,发现 url 参数被传入 htmlall 方法,继续跟进该方法。
image.png

可以看到 htmlall 方法使用了 curl 请求 url。
image.png

基本上有调用 $this->caiji->str 方法的地方都存在 SSRF 漏洞。
image.png

文件覆盖导致 GETSHELL:

通过敏感函数回溯参数过程的方式找到该漏洞。
在 upload/cscms/app/helpers/common_helper.php#write_file 使用了文件写入的敏感函数,跟 SSRF 的 htmlall 是同一个文件。
image.png

使用 Ctrl+Shift+F 查找哪些位置调用了 write_file,在 upload/plugins/sys/admin/Plugins.php#Plugins->_route_file 调用了 write_file函数,并且 n o t e [ note[ note[key][‘name’] 和 n o t e [ note[ note[key][‘url’] 的值是以字符串方式拼接到文件内容的,该内容是注释,我们可以使用换行绕过。
image.png

查找哪些位置调用了 _route_file,跟踪 $note 的值是否可控,调用该函数的位置有很多,最终找到一处可利用。在 upload/plugins/sys/admin/Plugins.php#Plugins->setting_save 调用了 _route_file,由于该函数内容有点多,所以我将它拆分成两个界面,一些不重要的内容进行闭合。画红线的位置是调用到 _route_file 必须设置的,可以看到在标蓝色3的位置获取到了 $note 的值,分析到这里可以开始复现了。
image.png

使用 burpsuite 抓取请求包。
image.png

修改请求包内容写入构造好的代码,可以看到我使用了 %0a 换行去绕过注释。
image.png

在 upload/cscms/config/dance/rewrite.php 可以看到成功写入。
image.png

寻找引用 rewrite.php 的位置,懒得去看代码了,通过点击各个页面,经过不懈努力终于在个人中心的音乐页面找到,所以你需要注册一个会员用户。
image.png

重放 burpsuite 抓到的请求包,成功输出内容。
image.png

到这里其实事情还没有结束,当我尝试写入恶意内容发现被转义了。
image.png

image.png

试了 eval、shell_exec 等均被转义,但是 assert 没有被转义,考虑到 assert 在PHP7版本之后的问题,我还是需要找一个更好的办法。懒得去看转义的代码了,我根据PHP的动态特性使用以下方法成功 RCE。
image.png

image.png

总结:

此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。

kali_Ma
关注
一次代码审计实战案例【思路流程】
HBohan的博客
03-03 972
此次代码审计使用了通用代码审计思路的两种,第一种:根据功能点定向审计、第二种:敏感函数回溯参数过程,没有用到的是通读全文代码。活用 phpstorm 可以让代码审计的效率大大增加。
代码审计思路
weixin_34128534的博客
09-01 933
一、说明 你要问我审计过什么项目发现过什么漏洞,那还真没有。记得第一家公司的老板娘问我“你会代码审记吗”,我不懂该怎么回答。要说懂我不肯定代码审计的具体定义是什么;要说不懂我看懂了ecshop和公司的代码框架,在我认为中看懂代码和源代码审计没什么区别嘛。现在说的话,真要说区别我觉得和渗透测试是测试的子集一样,代码审计也是“看懂代码”的子集。 子集换意思,就是基本能力和基本思想是可以通用的,但因为注...
代码审计思路&案例
guanjian_ci的博客
02-23 2596
前言 代码审计(Code Audit)顾名思义就是通过阅读源代码,从中找出程序源代码中存在的 缺陷或安全隐患,提前发现并解决风险,这在甲方的SDL建设中是很重要的一环。而在渗透测试中,可以通过代码审计挖掘程序漏洞,快速利用漏洞进行攻击达成目标。 审计思路 常见的审计思路有: 1.寻找敏感功能点,通读功能点代码; 优点: 精准定向挖掘,利用程度高; 缺点:命名不规范的代码容易被忽略,导致失去先机。 2.根据敏感关键字回溯参数传递过程; 优点:通过搜索敏感关键字可快速定位...
代码审计思路详解
Ciyaso的博客
04-30 7070
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
代码审计小技巧
chaojixiaojingang
08-13 1538
学会一些代码审计的小技巧,可以让我们事半功倍,也能帮我们挖到更多有价值的漏洞,面临着找工作的压力,我依然坚持着学习,我相信,学的多了肯定有公司选择录取我的。 1.钻GPC等转义的空子 GPC会自动把我们提交上去的单引号等敏感字符给转义掉,这样我们的攻击代码就没办法执行啦,但是,GPC并不是把所有的变量都进行了过滤,比如$_SERVER变量没有被过滤。 不受GPC保护的$_SERVER变量 G...
第52天:代码审计-PHP项目类RCE及文件包含下载删除1
08-03
网络安全领域,代码审计是确保应用程序安全性的重要环节。本文主要探讨了PHP项目中常见的安全漏洞类型,包括远程代码执行(RCE)、文件包含、下载、删除等,并提供了相关的漏洞利用关键字和实例分析。 首先,SQL...
php代码审计-代码执行.pdf
12-14
代码审计PHP 代码执行机制中的一种安全机制,用于检查代码的安全性。代码审计可以检查代码中是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检查...
【基础篇】第12篇:PHP代码审计笔记--弱类型存在的安全问题1
08-03
假设存在如下代码: ```php if (is_numeric($_GET['id'])) { // 执行敏感操作 } ``` 攻击者可以通过发送如 `0x31206f722031`(十六进制表示的 `'1 or 1'`)作为请求参数 `id` 的值,绕过检查并执行后续操作。这可能...
代码审计】--- php代码审计方法
qq_43168364的博客
02-11 4726
代码审计需要掌握的点 PHP编程语言的特性和基础 Web前端编程基础 漏洞形成原理 代码审计思路 不同系统、中间件之间的特性差异 代码审计思路 方法一 ---- 检查敏感函数的参数,然后回溯变量,判断变量是否可控,并且有没有经过严格的过滤,这是一个逆向追踪的过程 方法二 ---- 找出哪些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程是否有逻辑漏洞,这是一种正向追踪的方式 方法三 ---- 直接挖掘功能点漏洞,根据自身经验判断该类应用通常在哪些功能中
安全代码审查-S-SDLC与安全代码审查.pdf
08-11
安全代码审查和S-SDLC(安全软件开发生命周期)是现代软件开发中至关重要的环节,旨在提高软件产品的安全性,防御各种潜在的安全漏洞。以下是从提供的文件内容中提取的相关知识点。 首先,S-SDLC是一套面向Web和APP...
代码审计的思路
duangduang2020的博客
01-19 1243
seay 代码审计中总结: 常见的代码审计思路有以下四种:  1) 根据敏感关键字回溯参数传递过程 2) 查找可控变量,正向追踪变量传递过程 3) 寻找敏感功能点,通读功能点代码 4) 直接通读全文代码     一:根据敏感关键字回溯参数传递过程 根据敏感函数来逆向追踪参数的传递过程,是目前使用得最多的一种方式,因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏
代码审计方法与步骤
u011215939的博客
01-09 4259
代码审计方法与步骤网站审计要点
绕过过滤的空白字符
giun的博客
04-01 2665
<?php $info = ""; $req = []; $flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; ini_set("display_error", false); //为一个配置选项设置值 error_reporting(0); //关闭所有PHP错误报告 if(!isset($_GET['number'])){ head...
PHP代码审计
qq_56426046的博客
01-06 789
先从Web漏洞原理开始理解再到漏洞的挖掘以及利用,我们就来到了PHP代码审计这个方向进行进修。这里我们开始学习PHP开发,以及熟悉下开发者的开发思想,站在开发者角度去思索代码。再是掌握漏洞对应发生函数使用,再是学习正则表达式。审计路线:Demo->综合漏洞靶场->网上审计过的CMS->多入口CMS->单入口CMS->框架->函数缺陷作者:Saint Michael原文链接https://www.freebuf.com/articles/web/252333.html相关的一些代码审计的文章。
通用代码审计思路
晓川吖的专栏
09-09 277
四种代码审计的思路: 1. 逆向追踪,或叫回溯变量 一般是检查敏感函数的参数, 然后回溯变量, 判断变量是否可控并且没有经过严格的过滤, 这是一个逆向追踪的过程。 优点 只需要搜索相应敏感关键字, 即可以快速地挖掘想要的漏洞, 具有可定向挖掘和高效, 高质量的优点。 缺点 由于没有通读代码, 对程序的整体框架了解不够深入, 在挖掘漏洞时定位利用点会花费一点时间, 另外对逻辑漏洞挖掘覆盖不到 2. 正向追踪,或叫跟踪变量 先找出哪些文件在接收外部传入的参数, 然后跟踪变量的传递过程,
代码审计(全文通读审计案例)
qq_45521281的博客
05-18 1041
骑士 cms 通读审计案例 我们已经介绍了代码审计中通读全文代码审计方式的思路,下面我们用案例来说明 这种通读方式。为了方便大家理解,笔者找了一款相对简单容易看懂的应用骑士cms来介绍,版本是3.5.1,具体的审计思路我们在上文中已经有过介绍。 1. 查看应用文件结构 先看一下骑士 cms 的大致文件目录结构,如下图: 首先需要看看有哪些文件文件夹,寻找名称里有没有带有api、admin、manage、include 一类关键字的文件文件夹,通常这些文件比较重要,在这个程序里,可以看到并没有什么PHP
代码安全审计
最新发布
AI
07-08 388
什么是代码安全审计代码安全审计是指有开发和安全经验的人员,通过阅读开发文档和源代码,以自动化分析工具或者人工分析为手段,对应用程序进行深入分析,高效全面的发现系统代码的编码缺陷以及开发人员不安全的编程习惯,并指导开发人员进行修复,保障应用系统的安全运行。ULULO代码审计重要场景。
PHP代码审计渗透测试深度解析
"该文档主要探讨了Web代码审计渗透测试的主题,专注于PHP代码审计,适合关注Web安全和漏洞挖掘的安全攻城师学习。文档强调了变量与函数在程序中的核心地位,以及如何识别和利用可控变量与危险函数来发现漏洞。其中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值