生命在于折腾——皮卡丘靶场源码审计（一）

图片来源于百度图片。
注意：本篇文章仅用于学习以及笔记记录，不得用于其他违规用途。

一、环境搭建

首先搭建Pikachu靶场环境。
https://github.com/zhuifengshaonianhanlu/pikachu
将下载好的pikachu文件夹放到phpstudy的web服务器根目录下，根据实际情况修改inc/config.inc.php里面的数据库连接设置，
访问pikachu网址，点击初始化安装，即可完成安装。

二、SQL注入代码审计

1、数字型SQL注入

如图所示为SQL数字型注入页面，找到该网页源码。
下图为关键代码：

这里面的SQL语句前后无过滤和判断，使用burp抓包复现：

复现出这种即可证明存在该漏洞。

2、字符型SQL注入

查看源代码：

漏洞复现：

3、http头注入

查看源码：

漏洞复现

4、盲注

查看源码：

漏洞复现：
payload：
kobe’%20and%20’1’=‘1
kobe’%20and%20’1’='2

5、宽字节注入

查看源码：

漏洞复现：

三、XSS代码审计

1、反射型XSS

查看源码：

漏洞复现：

输入

2、存储型XSS

查看源码：

直接输出用户提交的数据 , 触发储存型XSS

漏洞复现：

四、文件上传

1、前端限制

2、服务端校验

代码分析：
具体函数定义
//只通过MIME类型验证了一下图片类型，其他的无验证,upsafe_upload_check.php
function upload_sick($key,$mime,$save_path){
$arr_errors=array(
1=>‘上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值’,
2=>‘上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值’,
3=>‘文件只有部分被上传’,
4=>‘没有文件被上传’,
6=>‘找不到临时文件夹’,
7=>‘文件写入失败’
);
// ${}_{F}ILES是一个全局数组变量,元素也是一个数组,key为固定的uploadfile//判断是否上传失败if(!isset($_FILES[$key][‘error’])){
$return_data[‘error’]=‘请选择上传文件！’;
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ // 判断是否上传失…_FILES[$key][‘error’]!=0) {
$retur{n}_{d}ata{[}^{\prime }erro{r}^{\prime }]=$arr_errors[${}_{F}ILES[$key][‘error’]];
$return_data[‘return’]=false;
return $return_data;
}
//验证一下MIME类型 $mime为白名单数组 , 判断如果不在白名单数组中
//恰巧 $key]{[}^{\prime }typ{e}^{\prime }]前端可控可以绕过if(!i{n}_{a}rray($_FILES[$key][‘type’], $mime)){
// 提示错误信息
$return_data[‘error’]=‘上传的图片只能是jpg,jpeg,png格式的！’;
// 返回 false
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ //新建一个保存文件…save_path)){
if(!mkdir($save_path,0777,true)){
$return_data[‘error’]=‘上传文件保存目录创建失败，请检查权限!’;
$return_data[‘return’]=false;
return $return_data;
}
}
$sav{e}_{p}ath=rtrim($save_path,‘/’).‘/’;//给路径加个斜杠
if(!move_uploaded_file(${}_{F}ILES[$key][‘tmp_name’],$sav{e}_{p}ath.$_FILES[$key][‘name’])){
$return_data[‘error’]=‘临时文件移动失败，请检查权限!’;
$return_data[‘return’]=false;
return $return_data;
}
//如果以上都通过了，则返回这些值，存储的路径，新的文件名（不要暴露出去）
$retur{n}_{d}ata{[}^{\prime }ne{w}_{p}at{h}^{\prime }]=$save_path.${}_{F}ILES[$key][‘name’];
$return_data[‘return’]=true;
return $return_data;

}
$_FILES

array(1) {
[“uploadfile”]=>
array(5) {
[“name”]=>
string(11) “phpinfo.php”
[“type”]=>
string(24) “application/octet-stream”
[“tmp_name”]=>
string(53) “C:\Users\Administrator\AppData\Local\Temp\php8374.tmp”
[“error”]=>
int(0)
[“size”]=>
int(23)
}
}
由代码分析得知，服务端只校验了MIME类型，不校验文件后缀 , 直接修改绕过

3、文件头检验

查看源代码

校验函数是 upload , 跟进查看upload
//进行了严格的验证
function upload($key,$size,$type=array(),$mime=array(),$save_path){
$ar{r}_{e}rrors=array(1={>}^{\prime }上传的文件超过了php.ini中uploa{d}_{m}a{x}_{f}ilesize选项限制的{值}^{\prime },2={>}^{\prime }上传文件的大小超过了HTML表单中MA{X}_{F}IL{E}_{S}IZE选项指定的{值}^{\prime },3={>}^{\prime }文件只有部分被上{传}^{\prime },4={>}^{\prime }没有文件被上{传}^{\prime },6={>}^{\prime }找不到临时文件{夹}^{\prime },7={>}^{\prime }文件写入失{败}^{\prime });//va{r}_{d}ump($_FILES);
if(!isset(${}_{F}ILES[$key][‘error’])){
$return_data[‘error’]=‘请选择上传文件！’;
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ if (_FILES[$key][‘error’]!=0) {
$retur{n}_{d}ata{[}^{\prime }erro{r}^{\prime }]=$arr_errors[${}_{F}ILES[$key][‘error’]];
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ // 上面两个是查看…_FILES[$key][‘tmp_name’])){
$return_data[‘error’]=‘您上传的文件不是通过 HTTP POST方式上传的！’;
$return_data[‘return’]=false;
return $return_data;
}
//获取后缀名，如果不存在后缀名，则将变量设置为空
// pathinfo() 函数以数组的形式返回关于文件路径的信息。
$ar{r}_{f}ilename=pathinfo($_FILES[$key]{[}^{\prime }nam{e}^{\prime }]);//判断是否有后缀if(!isset($arr_filename[‘extension’])){
$arr_filename[‘extension’]=‘’;
}
//先验证后缀名 , 后缀名转成小写然后判断是否在 $type白名单后缀中if(!i{n}_{a}rray(strtolower($arr_filename[‘extension’]),$type)){//转换成小写，在比较
$retur{n}_{d}ata{[}^{\prime }erro{r}^{\prime }]{=}^{\prime }上传文件的后缀名不能为空，且必须{是}^{\prime }.implode{(}^{\prime }{,}^{\prime },$type).‘中的一个’;
$return_data[‘return’]=false;
return $return_data;
}

//验证MIME类型，MIME类型可以被绕过 
if(!in_array($_FILES[$key]['type'], $mime)){
    $return_data['error']='你上传的是个假图片，不要欺骗我xxx！';
    $return_data['return']=false;
    return $return_data;
}
//通过getimagesize来读取图片的属性，从而判断是不是真实的图片，还是可以被绕过的
// getimagesize(文件名) 函数用于获取图像大小及相关信息，成功返回一个数组，失败则返回 
if(!getimagesize($_FILES[$key]['tmp_name'])){
    $return_data['error']='你上传的是个假图片，不要欺骗我！';
    $return_data['return']=false;
    return $return_data;
}
//验证大小
if($_FILES[$key]['size']>$size){
    $return_data['error']='上传文件的大小不能超过'.$size.'byte(500kb)';
    $return_data['return']=false;
    return $return_data;
}

//把上传的文件给他搞一个新的路径存起来
if(!file_exists($save_path)){
    if(!mkdir($save_path,0777,true)){
        $return_data['error']='上传文件保存目录创建失败，请检查权限!';
        $return_data['return']=false;
        return $return_data;
    }
}
//生成一个新的文件名，并将新的文件名和之前获取的扩展名合起来，形成文件名称
$new_filename=str_replace('.','',uniqid(mt_rand(100000,999999),true));
if($arr_filename['extension']!=''){
    $arr_filename['extension']=strtolower($arr_filename['extension']);//小写保存
    $new_filename.=".{$arr_filename['extension']}";
}
//将tmp目录里面的文件拷贝到指定目录下并使用新的名称
$save_path=rtrim($save_path,'/').'/';
if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$new_filename)){
    $return_data['error']='临时文件移动失败，请检查权限!';
    $return_data['return']=false;
    return $return_data;
}
//如果以上都通过了，则返回这些值，存储的路径，新的文件名（不要暴露出去）
$return_data['save_path']=$save_path.$new_filename;
$return_data['filename']=$new_filename;
$return_data['return']=true;
return $return_data;
}

这个时候发现只能使用图片马绕过
使用CMD制作一句话木马。
参数/b指定以二进制格式复制、合并文件; 用于图像类/声音类文件
参数/a指定以ASCII格式复制、合并文件。用于txt等文档类文件

copy 1.jpg/b+1.php 2.jpg
//意思是将1.jpg以二进制与1.php合并成2.jpg
那么2.jpg就是图片木马了。

五、命令执行

查看源代码：

漏洞复现：