php代码审计平台,PHP代码审计实战思路浅析

最新推荐文章于 2023-08-31 00:07:49 发布
最新推荐文章于 2023-08-31 00:07:49 发布
阅读量141 收藏
点赞数 1
文章标签: php代码审计平台

*本文原创作者:wnltc0,本文属FreeBuf原创奖励计划,未经许可禁止转载

战略性的思考而非战术

对于面向过程写法的程序来说,最快的审计方法可能时直接丢seay审计系统里,但对于基于mvc模式的程序来说,你直接丢seay审计系统的话,那不是给自己找麻烦吗?

像面向过程写法的程序,可以找下它的公共函数文件有啥可以利用的不,然后就是丢seay审计系统。

而对于基于mvc写法的程序来说,跟读他的入口文件,了解整个程序的运行流程跟目录结构,之后再深入去了解它的核心类库,如果核心类库存在漏洞的话,那在这套程序中找出个漏洞的希望那不是一般的大啊!了解了整个框架运行流程后,也没从核心类库中发现什么可利用的点的话,这时就可以从功能点入手了(这时可以把源码丢进seay源代码审计系统了)。

一套组合拳打下了后还是没找到漏洞咋办?没事,换套程序继续。如果换了n套程序都找不出来,那就换个人吧……

实战环节目标:某开源cms(icms)

环境:win+phpstudy+sublime

大概目录结构长这样

├── app     应用

├── cache     缓存

├── core      icms程序入口

├── iPHP      iphp框架文件

├── public    公共资源

├── res       用户资源

└── template  模板

打开index.php

919a7f31e122b1c7fdf5922250d0e281.png

发现载入了一个icms.php,然后调用了iCMS::run()方法(如果你第一反应是以为iCMS.php是个类文件,那你后面的审计估计有点难受。)

跟进iCMS.php

c5a82e599d874480900a1f615fdee322.png

该处载入了配置跟框架文件,继续跟进iPHP.php

0a2bc1186a4ff37cba40fa9a17ec61a1.png

载入几个框架文件,然后调用iPHP::bootstrap()方法,这回差不多了,继续跟进iPHP::bootstrap()

6058e988e0f627e7d64c1dc1ac9e0394.png

该处做了些环境配置,然后就是调用核心的iWAF、iSecurity类来一下全局过滤(iWAF这些先跟),看到这可有有的小伙伴又有疑惑了,iWAF什么时候加载进来了啊?

看到48行的spl_autoload_register函数了没,再具体点,看到56行那个autoload了没

84bba935baee78b955133c8ff8398aee.png这也没看到哪有include、require之类的啊,怎么加载进来的?别急,继续跟进57行的self::auto_require

92a567a7422e56b120d344a8153976dd.png没错就是这了,不过代码太长了就不贴了,大概就是判断传来的类名中是否有Admincp或者App,如果没有就加载app/xx/xx.class.php,如果有Admincp则加载app/xx/xx.Admincp.php,如果有App则加载app/xx/xx.app.php,如果有Func则加载app/xx/xx.func.php,如果以上都不满足则去iPHP/core/下找

fa9659c62c9fd194f5bd8e1bfb8ff754.png

0774ee050ed9bde4e43cd490d05ab2a5.pngiPHP::bootstrap()大概知道它干了什么了,再回头去看看iCMS::init()

e1d96c0ad28ff321a9326097d7d30267.png大概就是初始化配置信息,继续往回看,跟进iCMS::run()

2878067206948d740eb200a0d4f2d065.png继续跟进iPHP::run

d1c7549f6287b762d3d13d249ad53e47.png(代码有点长)大概就是从post或get获取应用名,加载类跟实例化类,调用方法等

划重点了(后面会用到),这里的文件名格式是xx.app.php,类名是xxApp,其实整套程序并不止index.php这一个入口文件,还有admincp.php、user.php等,其中加载的文件名格式跟类名都是不一样的,比如:访问index.php加载的是xx.app.php的xxApp类,访问admincp.php加载的xx.admincp.php的xxAdmincp类

跟完入口文件后,对整个框架是怎么运行的,都有了个大概的了解,接下来可以去深入了解了

我跟啊跟,发现核心类中的iHttp类的remote方法有点意思,在iPHP/core/iHttp.class.php 130行

52bd115e39e65398fff6b48c6f0df89d.png

c91c9ea3ef3158e3d340672aa0cde481.png

remote方法封装了curl,用来获取远程页面内容,整个方法并没有对url进行任何限制或过滤,如果调用这个方法前也没用对url进行限制的话,那ssrf就跑不了了

全局搜索下看哪调用了这个方法,而remote是个静态方法,调用格式为iHttp::remote,所以直接搜这个就可以了

7007d32eb0fae1bcd2cf6d845c3b3f27.png

我想找前台的漏洞,so,直接看哪个的文件名格式类似xx.app.php就好啦

找啊找,仅发现前台只有一处调用了该方法

84d85fe1c032c4a4375f4d2f07541eed.png

找到之后,跟进去看看

61a2b0e2198acc08191245e0f75d6b6c.png把$avatar传了进去,继续往上翻翻,看有没有啥过滤

71c1232084ddee539ece9ae76804a88e.png一直往上翻,只看到这句

会不会在iSecurity::escapeStr这做了限制呢?继续跟进去看看

51486169622d388c0953235acdc9e8d0.png

貌似没有对url做限制!!!

再往上翻翻,看看是哪个方法

6d168ab589da7780c6445d097097a128.png这回稳了,手动构造数据包

c7486f0845c34bc1e7709e01cf58a7d8.png解释下个字段:

username跟nickname每次请求都要改变,avatar为传入的url,这个漏洞还有两处有点蛋疼的地方,第一,username跟nickname每次都要改变,而且这些值都是会存进数据库的;第二,这里的ssrf是没有回显。

使用dict来举个例子,访问一个未开启端口时如下

2eff0d10015483f6753d58c5c26747c6.png访问一个开启的端口时如下

2cdc5572345b4843f90baa2f20d9b705.png

如果上述说的都做完还没发现漏洞,那可以尝试丢到seay源代码审计系统,或者根据功能点进行审计,找找逻辑漏洞

如果做完上述操作后再用软件来辅助,会轻松的多,比如,seay源代码审计系统扫出来如下

40e8b2be5d9bf9d20390a7cc079c54a4.png

拿第二条举例,漏洞描述是referer伪造会引起sql,点击瞅瞅

55f6b9eb48c58bf4c96f7c041d62ac2d.png看到referer先进入了iSecurity::escapeStr,然后再进入iDB::insert,通过前面的审计我知道iSecurity::escapeStr对单引号等做了过滤,所以普通的sql注入是没希望了,只能看看还有没有其他方式能结合利用(我记得这是有注入的……)

如果我是一上来就用软件的话,那我现在可能还在一步一步的追一个函数,这样会增加不少功夫

本文到这就结束了,emmm!

*本文原创作者:wnltc0,本文属FreeBuf原创奖励计划,未经许可禁止转载

直树桑
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF之代码审计汇总
D-R0s1的博客
10-08 7087
  最近在做bugku中代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着bugku中的题目来统一的整理一下。希望通过整理可以温故而知新。 第一题:extract变量覆盖 焦点:extract($_GET) <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(fi...
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1642
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7993
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
小迪渗透&代码审计(柒)
weixin_41665162的博客
10-22 1106
文章目录50. PHP无框架项目SQL注入挖掘技巧(50-57)演示案例:技巧分析:51. PHP框架MVC类上传断点调试挖掘演示案例涉及资源52. PHP项目类RCEA及文件包含下载删除漏洞关键字:通用关键字:演示案例:53. TP5框架及无框架覆盖反序列化漏洞关键字:通用关键字:演示案例:变量覆盖配合文件包含实现任意文件包含反序列化Thinkphp5 简要知识点涉及资源54 TP5框架审计写法分析及码追踪演示案例:涉及资源: 50. PHP无框架项目SQL注入挖掘技巧(50-57) 代码审计教学计划
Bugku代码审计
秋叶依剑
11-25 374
文章目录Bugku代码审计0x01. extrack 变量覆盖trim()函数payload0x02. strcmp比较字符串strcmp()函数0x03. urldecode二次编码绕过eregi()函数payload0x04. md5()函数payload0x05. 数组返回NULL绕过payload Bugku代码审计 0x01. extrack 变量覆盖 <?php $flag='x...
浅析php与数据库码开发规范
10-27
以下是对php与数据库码开发规范进行了简单的分析介绍。需要的朋友可以过来参考下
PHP文件下载实例浅析
10-21
主要为大家详细介绍了PHP文件下载实例码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
通过PHP与Python码对比的语法差异详解
09-19
主要介绍了通过PHP与Python码对比浅析语法差异,文中通过示例码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
php码性能调优profile利器xhprof工作原理浅析
03-23
php码性能调优profile利器xhprof工作原理浅析。xhprof是php的第三方扩展,工作在zend层,以动态加载的方式被加载。php在解释执行的过程中,首先被解释成对应的token码,而后,编译成字节码(这里的字节码不是机器码...
js函数与php函数的区别实例浅析
12-01
码如下:<html> <head> </head> <body> [removed] function t(){  return 5; } var m = t;//函数名即是变量名。注意,不能写成t(),加括号是表示调用这个函数。 alert(m()); ...
无JS,完全php面向过程数据分页实现
12-18
复制码如下: <?php //登陆页面设置的session,当session中存在name时 //session_start(); //$name = $_SESSION[‘name’]; //if (empty($name)){ // header(“Location: error.php”); // exit(); //} //面向过程, 数据分页显示 if(false!=($mysql = mysql_connect(‘本地mysql’, ‘mysql用户名’, ‘mysql密码’))){ mysql_query(‘set names utf8’,$mysql); //设置数据库
phpcms漏洞_代码审计实战思路浅析PHPCMS
weixin_39662955的博客
12-06 202
前言这是在FreeBuf的第二篇审计文章,不是想讲漏洞分析,更多是想写下整个审计的过程,在我最开始学代码审计时,拿到一套cms,却无从下手,想从网上找找实战案例,但找到的大都是案例分析,没见过几篇是把整个审计过程写下来的。经过一番摸索,终于从小白进阶到菜鸟,于是想着写几篇带完整过程的代码审计文章,尽管这些过程在大佬们看来跟后面的漏洞关系不大、并不重要;但对于新手朋友来说,这可能是一篇把他...
网站代码审计干货学习经验分享
网站安全专家
04-12 578
学习代码审计要熟悉三种语言,总共分四部分去学习。第一,编程语言。1.前端语言html/js/dom/元素的使用主要是为了挖掘xss漏洞。jquery主要写一些涉及CSRF脚本或DOMXSS、JSON劫持等。2.后端语言的基本语法要知道,比如变量类型、常量、数组(python是列表、元组、字典)、对象、调用、引用等。,MVC设计模式要清晰,因为大部分目标程序都是基于MVC写的,包括不限于php、python、java。不用写,但一定能理解,要理解逻辑,知道哪些功能点可以写,哪些漏洞可能会出现,便于挖掘常规漏洞
php代码审计题目总结
qq_45927819的博客
12-14 1643
<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page))//判断.
php代码审计通读全文,通读全文进行代码审计
weixin_30216669的博客
03-29 127
若是想快速找到漏洞,那么就根据危险函数回溯到变量,去进行审计。若是想找到精彩的漏洞,那就要通读全文,理解逻辑。通读全文的技巧:1.找函数集文件,往往函数集文件里面都包含通用函数。因此,可以在index.php文件或者一些功能性文件头部找到。2.找配置文件,通常有config关键字,通过这个文件能了解程序的小部分功能,并且,如果配置文件中的参数以双引号括起来,那么就可能存在码执行漏洞。只要我们在修...
测试左移——代码审计SonarQube 平台搭建
最新发布
python全栈
08-31 396
可靠性 bugs可维护性 code smells安全性 Vulnerabilities Security Hotspots覆盖率 Coverage Unit Tests码重复 Duplications码规模 Lines of Code Comments rate复杂度 Cyclomatic Complexity Cognitive Complexity。
SonarQube代码审计平台搭建
Tison的博客
04-14 1348
1 概述 SonarQube是一个开源平台,用于管理源码得质量。SonarQube不只是一个质量数据报告工具,更是码质量管理平台。 支持java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的码质量管理与检测。 SonarQube可以从以下七个维度检测码质量,而作为开发人员至少需要处理前5种码质量问题。 (1) 不遵循...
CodeQL 代码审计平台学习笔记
vspiders的博客
08-20 1017
CodeQL是一款代码审计分析平台,它将Python、Go、JavaScript等语言解析生成语法树并存储到数据库中,之后通过QL语法进行码审查与筛选。你可以按照自己的想法写代码审计检测脚本,甚至进行码漏洞 OR 恶意检测。 安装 下载CodeQL二进制文件 wget https://github.com/github/codeql-cli-binaries/releases/download/v2.2.4/codeql-linux64.zip 下载语言库依赖 wget htt
代码审计利器-Seay源代码审计系统
热门推荐
Yale的博客
05-31 3万+
Seay压缩文件 解压Seay后进行安装 一路默认即可 下载安装.net相关组件即可正常使用 主界面如图 5.2 实验任务二 这次还是以dvwa为例 左上角新建项目,选择dvwa源码文件夹 点击确定后在左侧列出了文件组织结构 点击上方菜单栏的自动审计 点击开始 就会开始审计 进度显示在下方 我们可以点击生成报告,方便持续跟踪审计 在浏览器中查看,漏洞类型,文件路径,可疑函...
php的urlencode()URL编码函数浅析
05-19
`urlencode()`函数是PHP中的一个URL编码函数,它可以将字符串转换为符合URL规范的字符串,以便在URL中传递参数。 `urlencode()`函数将字符串中的所有非字母数字字符替换为特殊字符 '%' 后跟两个表示该字符 ASCII 码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值