怎么学php代码审计,记一次简单的php代码审计

最新推荐文章于 2022-12-23 11:29:35 发布
最新推荐文章于 2022-12-23 11:29:35 发布
阅读量188 收藏
点赞数
文章标签: 怎么学php代码审计

PHP代码审计所需工具:

(1) 环境:PHPstudy

我这里直接使用phpstudy。其他的如:xampp,lamp等集成环境都可以。

Phpsyudy官网地址:https://www.xp.cn

(2)代码审计工具:

“工欲善其事,必先利其器。”一款好的代码审计工具可以辅助我们的白盒测试,提高挖掘漏洞的效率。下面我来介绍一下两款常用的代码审计工具。

1. RIPS

Rips是PHP语言开发的一款流行的审计工具,只要我们搭建好php环境就可以使用该工具。

官网:http://rips-scanner.sourceforge.net

下载好后,放入到我们本地搭建的网站根目录中,访问即可。下面是rips的界面。

8edd613697620edb831e081e5048f20e.png

2.Seay

这是一款由国内大牛法师(seay)13年期间基于c#开发的一款针对与PHP代码安全性审计的系统。是初学代码审计时常用的一款工具。

dff0a0ccee7cd5c196d75349f9b62e42.png

经验总结:

我这边总结一下我自己个人的经验。我个人是没有系统的学习过php的,所以说的有误的请各位大牛更正。

我认为有几点:

(1)确定框架或了解好文件的作用

为什么要确定好框架呢?因为确定好框架,我们可以去找找该框架的漏洞,也为我们后续审计工作带来更多的便利。怎么确定好一个框架呢?通常我们可以去看看需要审计的cms的官方文档。

为什么需要了解好文件的作用呢?我认为搭建好要审计的代码后,第一步就去找存放有全局函数,全局类的文件或配置文件。为什么呢?因为存放有全局函数的,如过滤xss,sql注入的函数都放在里面,我们可以看看过滤的正则写的怎么样,看看能不能绕过正则。或者如一些获取ip地址的函数,有没有过滤好,如果没有过滤好,往往都会出现http注入。

如何去找这些文件呢?一般有几个命名方式,如存放有全局函数的文件命名一般带有function,而配置文件一般会带有config这个字样,而controller,class多为类文件,存放类文件的目录多为controller或lib。所以说我们从文件名上就可以获取到很多信息。

(2)找好输入点,并确定有没有危险函数。

找好输入点?找什么的输入点呢。我们也知道有几个超全局变量如:$_GET $_POST $_SERVER.....

这几个不难发现都是用来接收外部输入的变量,这就是我们的输入点,而用户的输入都是不可信的。找到危险函数的同时,我们也要确定我们有没有输入点,可以对这个危险函数进行操作,且这个输入点输入的内容,程序有没有进行过滤或者过滤不充足。这几点是我们要考虑的问题。

(3)黑白盒交替进行,懂得抓包分析,逐步调试你觉得可疑的代码。

黑白盒交替进行,运用好抓包分析,对我们代码审计工作有着非常重要的作用。我们开始看到的是一个网站成形的样子,而不是一堆看到眼花缭乱的代码。所以如果是一些刚学代码审计,对代码通读能力较弱的人,可以先进行一下黑盒测试。我们可以一开始找到一个什么留言板,搜索框之类的,去测试有没有xss。有url跳转的地方去测试ssrf,或者登录后台添加或删除用户时,抓包分析,适当删除referer头来看看存不存在csrf。感觉麻烦的就拿AWVS,Nessus这些工具扫一波。

懂得调试代码,我们也可以单独将一段可疑的代码复制到另一个文件调试,多输出你想要的变量,来看看过滤规则等。

(4)最后一点是心态上,一定不能着急,要慢慢来,不要怕被打击,不断地总结经验。

实战演示

(1)SQL注入(演示云业CMS)

这个说真的,我这几天为了帮朋友搞个证书,我随便去源码站那里看看那些cms可以水一波证书,然后刚好看到这个某业,结果洞挖好之后,发现已经有人提交了,所以我不是第一个发现该漏洞的人。这次就用来当做教材分享给大家吧。官方也已经发布补丁。本次教学仅供参考学习,切勿做任何违法活动。

dd3f785795dea2ad511a2403ca0a0c48.png

好的,我们现在直接到存放有全局函数的文件里,我们可以看到这个getip()用来获取ip的函数后面没有经过任何过滤,直接返回,这样就会造成一个http头注入。既然认为这是个漏洞,剩下我们就去看看哪里调用了这个函数。我这里用的是seay代码审计系统,这有一个全局搜索的功能,我们搜索getip()看看那里调用了该函数。

10af8e94574df080713314dbf44e59e6.png

好的,这次我们点开这个/admin/login.php管理员登录文件

5c3de65b365ffa37082f2008596edec6.png

可以发现这个$logiparr调用了getip()函数,又未经过滤后传入checklogintimes函数,然后我们追踪一下这个函数。

40b7ebb3d721eba79baa8a811f69530c.png

可以发现这个过程是未经过任何过滤就传入值,所以我们抓包分析一下,可以发现当我们加了xxf头后,在ip地址后面加个引号会出现MYSQL报错提示。说明存在注入漏洞。

c8bd83c7f8d3633f3f1a04aaa9c24016.png

剩下偷个懒,直接扔sqlmap。

ef09d92baf965fdbb80d54d1639a4fc6.png

(2)Csrf(YzmCMSV5.5版本)

这个危害比较小,比较很鸡肋(厂商也不收呀),所以我拿来演示Csrf漏洞产生。

首先,是一个黑盒测试。我们直接登录管理员后台添加和删除会员的页面。通过抓取添加和删除会员时的数据包,分析。

网站程序只是简单的验证了一下referer头

6e6bc4020e214fa9555a3b2bfdab67c5.png

删除referer头后,成功添加用户

2817f83b03ac3747485d9c2b7741205d.png

所以,当referer头为空或者跟他同源时,则绕过检测。所以我们的paylaod代码就可以用标签配合data协议,以及base64编码实现。然后黑盒测试完成

3010d87a97b20e232873e1c3a559fb93.png

该代码会添加一个haha的用户,实测效果:

695c0230355ff8e11d018f260add5ec6.png

0d4924921e8adb86e54d6fa7ef045da1.png

然后我们来看下代码,其实这个关键点的就是,添加用户的的时候,没有加一个token验证,而这个检测只是简单的验证了referer头。

0131af82e70e1c55520be780d2d69d48.png

11a3de51e60331577baf58a655453f81.png

总结

上面两个只是比较小的案例,我这边建议的是开始最好从dvwa这些靶场,去看看产生漏洞的源码,了解漏洞产生的原因,然后再去找找比较简单,小众的CMS去挖掘。这些cms可以去网上那些源码之家找找。然后多看别人的文章,多参考参考大佬们的经验。看懂后最好自己能复现一下。

喜欢的大表哥 点个

关注+再看

芝士的草原
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码审计文档.zip
11-02
第7课:PHP代码审计宽字节注入及二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5课:审计涉及的超全局变量mp4 第4课:代码调试及 Xdebug的配置使用mp4 第3课:PHP核心配置详解mp4 第2课:代码审计的思路及流程mp4 ...
php源码 辅助发卡_一次简单php代码审计
weixin_39912163的博客
12-28 226
PHP代码审计所需工具:(1) 环境:PHPstudy我这里直接使用phpstudy。其他的如:xampp,lamp等集成环境都可以。Phpsyudy官网地址:https://www.xp.cn (2) 代码审计工具:“工欲善其事,必先利其器。”一款好的代码审计工具可以辅助我们的白盒测试,提高挖掘漏洞的效率。下面我来介绍一下两款常用的代码审计工具。1. RIPSRips是PHP语言开发的...
[MRCTF2020]Ezpop
missht0的博客
01-29 407
[MRCTF2020]Ezpop <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { 第一个类
php代码审计靶场,代码审计 | Wavsep靶场审计防御
weixin_39612023的博客
03-16 296
—————— 昨日回顾——————红日安全出品|转载请注明来源文中所涉及的技术、思路和工具仅供以安全为目的的习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)—————————————————(点击上方文字可直接阅读哦)1.1 基于wavsep靶场的jsp代码审计防御本次实验是基于wavsep进行设计,因此我们主要做了sql注入及xss跨站请求...
在线靶场-墨者-代码审计1星-PHP代码分析溯源(第1题)
weixin_42079912的博客
07-19 370
了解php代码,经过转换后得出: 根据题意,WEB服务器发现多了一个b.php文件,开启菜刀输入地址http://219.153.49.228:46253/b.php?0=assert,密码为1,脚本类型选择php,连接成功后可找到key的php文件,打开即可得到key。 ...
php代码审计实战(一)
goddemon
07-05 3234
源码:熊海CMS_1.0 安装方法:这里是用宝塔直接搭建的 ①数据库 需要宝塔建立一个数据库导入那个数据库文件就好了 然后安装的时候输入的数据库,账户,密码跟宝塔的数据库是一样的就好了 ②php版本问题:需要将php设置为5.6才可以进行运行 且注意:如果无法运行<?php phpinfo(); ?>需要去查看短标签和php配置禁用函数 审计过程 看个人习惯和时间去确定自己的审计方法吧 我的话 快审的话: 1.过一遍功能点,然后猜存在的漏洞,找到对应的代码进行审计 2.直接seay这些审计系统通
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同先...
PHP代码审计音频文件.zip
11-02
任务7:PHP代码审计宽字节注入及二次注入mp4 任务6:PHP代码审计SQL注入漏洞mp4 任务5:审计涉及的超全局变量mp4 任务4:代码调试及 Xdebug的配置使用mp4 任务3:PHP核心配置详解mp4 任务2:代码审计的思路及流程mp4 ...
PHP代码审计视频
01-28
PHP代码审计入门教视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
php代码审计比较有意思的例子
12-18
代码审计比较有意思的例子貌似是去年 ecshop支付漏洞偶然出来的一个例子,感觉不错。分享下 复制代码 代码如下:<?php$a=addslashes($_GET[‘a’]);$b=addslashes($_GET[‘b’]);print_r($a.' ’);print_r($b.'...
php代码审计靶场,RIPS --代码审计靶场(第一关)-华盟网
weixin_28896255的博客
03-16 158
靶场代码:class Challenge {const UPLOAD_DIRECTORY = './solutions/';private $file;private $whitelist;public function __construct($file) {$this->file = $file;$this->whitelist = range(1, 24); //生成包含1...
php代码审计靶场,代码审计upload-labs上传漏洞靶场
weixin_35152751的博客
03-16 110
基本把代码的意思都写入注释中了,我之前博客写的,图可能不是太清晰,也可以去我之前博客看1.Js绕过webshell;直接function改成return true2.Content-type绕过稍微改一下就可以了3.phtml上传绕过这一关没什么可说的,算是钻了apahce的一个空子吧简单的一个黑名单的方式,但是利用了apahce的解析在http.conf文件的第403行,这里直接会把phtml文...
PHP代码审计入门-DVWA靶场CSRF篇
身高两米不到的博客
11-16 1073
从零php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈录,看看曾经遥不可及的代码审计能不能慢慢啃下来。好的,文章内容代码不是重点,重点是逻辑和漏洞。然后产生疑惑, &dvwaSessionGrab函数为什么要加& ,百度一番没看懂,吐槽一下:他喵的就不能用朴实无华的语言写出来,非得装杯。因为什么限制也没做。
Dvwa靶场php代码分析,PHP代码审计-command injection-dvwa靶场
weixin_26897585的博客
03-12 169
执行command-lowlowif (isset($_POST[‘exec‘])){$target = $_POST[‘ip‘];if( stristr( php_uname( ‘s‘ ), ‘Windows NT‘ ) ) {// Windows$cmd = shell_exec( ‘ping ‘ . $target );$cmd1 = system( ‘ping ‘ . $target ...
PHP代码审计入门-DVWA靶场命令注入篇
身高两米不到的博客
11-14 652
从零php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有基本的前端基础、简单php+mysql后端基础、渗透知识和漏洞原理,文章跟随流沙前辈录,看看曾经遥不可及的代码审计能不能慢慢啃下来。这里先把 $target 输出,看看代码是如何防止命令注入的。常用的命令连接符就差不多了,还有一个常用的但不是命令连接符的东东,基本就这么多。命令注入模块,注释写在代码里,尽量用详细的语言描述代码含义。|| ,前面为假才执行后面命令。
php代码审计靶场,进阶靶场phpshe1.7代码审计思路
weixin_35019134的博客
03-16 597
前言临近期末,很快就得去找实习了。然而最近没挖到什么漏洞,就想着代码审计,好让简历有点东西可以写。了一段时间想练练手,就想到了进阶靶场刚好有很多cms可以用,于是决定审计进阶靶场的cms,并把审计的思路写下来。存在漏洞的地方和不存在漏洞的地方都有分析,所以篇幅比较长。后面我还会继续审计进阶靶场的cms,然后把审计思路写下来发到社区,分享一下代码审计的过程,希望表哥们多多指导。审计过程代码...
xxe-lab靶场安装和简单php代码审计
永远是少年
12-23 2716
今天继续给大家介绍渗透测试相关知识,本文主要内容是xxe-lab靶场安装和简单php代码审计。 一、xxe-lab靶场简介 二、php xxe-lab靶场安装 三、xxe-lab靶场PHP代码审计
php发卡_发卡网代码审计
weixin_36386044的博客
02-06 318
前言好胸弟柠枫昨天dd了我一下,这不,叫我一起审计发卡的cms君无戏言,最近也在整二进制,当然要跟我的好胸弟一起组队py一下,不知道我都多久没审了,吐咱语文也不是很好,各位看官就将就着看看就好,水文勿喷0x01. 首页功能点审计打开一看,发现不是mvc框架了,那就感觉没啥好看头了,对于发卡网这种功能一般情况下是没多少功能点让我getshell的(可能是我太菜,大佬也可以审计一波,交流交...
<php和< php_php代码审计习之函数缺陷
最新发布
06-07
关于PHP代码审计习中的函数缺陷,一般可以从以下几个方面入手: 1. 函数输入验证不严格:函数输入参数未进行严格的类型、范围等验证,导致攻击者可以通过构造恶意输入来执行攻击代码。 2. 函数输出验证不严格:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值