某发卡评估报告

发卡平台评估报告
概述
发卡平台是一套基于PHP+MYSQL为核心开发、免费、开源的发卡系统。支持支付宝，财付通，各类点卡等支付方式，适合个人或者企业搭建发卡平台。
发卡平台存在SQL注入、XSS注入、无密码登录、文件上传和文件解析漏洞。
漏洞描述
1.前台卡密购买sql注入，相关文件：./ajax.php及./getkm.php
2.前台卡密购买xss注入，相关文件：./ajax.php
3.失效的访问控制
4.信息泄露
5.文件上传
6.代码注入，相关文件：emailConfig.php
SQL注入
前台购买卡密sql注入（1）
概述：
./ajax.php文件action方法selKM存在用户可操控参数gid未过滤，导致sql注入
漏洞测试：
访问发卡网首页，在购买卡密过程中会对卡密gid进行数据库校验，参数可以通过burpsuite进行拦截，存在时间盲注，效果如下图1，图2

图 1

图 2
更改gid参数，payload为 1 and (select * from (select(sleep(5)))as aa)-- -,发包之后可明显观察到程序延迟了5秒，证明此处存在sql注入，如图3

图 3
漏洞成因：
Sql查询语句未对可控制的参数进行严格校验，导致恶意用户拦截更改参数导致恶意代码执行，如下图4

图 4
前台购买卡密sql注入（2）
概述：
在./ajaxphp下，action方法create处存在sql插入语句，未对用户可控参数rel进行控制，导致sql注入
漏洞测试：
访问发卡网首页，在购买卡密过程中会对参数进行数据库插入，参数可以通过burpsuite进行拦截，存在时间盲注，效果如下图5（继上一个漏洞之后继续拦截数据包即可）

图 5
更改rel参数，payload为 '%2b(SELECT CASE WHEN (1) THEN sleep(5) END) ,now(),‘alipay’)-- - ，效果如下图6，程序延时了5秒，证明此处存在sql注入

图 6

漏洞成因：
用户输入的参数未经过严格过滤导致sql注入，通过构造恶意语句可导致恶意sql语句被执行，如下图7

图 7

前台购买卡密sql注入（3）
概述：
./ajax.php文件未对用户输入参数进行严格控制，导致存在sql注入
漏洞测试：
访问./ajax.php?act=selgo,可发现程序将一些特殊数据打印在浏览器上，如下图8

图 8
构造payload，使用火狐浏览器插件进行模仿post提交，payload为tyid=1 union select 1,version(),3,4,5,6,7可发现此处将数据库版本爆了出来，证明此处存在sql注入，如下图9

图 9

漏洞成因：
未对用户输入进行严格控制导致用户可控制代码，恶意执行导致sql注入，如图10

图 10
前台卡密查询sql注入（4）
概述：
./getkm.php文件未对用户输入参数进行严格控制，导致存在sql注入
漏洞测试：
访问卡密查询页面，而后拦截数据包，如图11，图12

图 11

图 12
修改tmp参数，payload为 1’ and (select * from (select(sleep(5)))as a ) – - ,程序明显延迟了5秒，如下图13，证明此处存在sql注入

图 13
漏洞成因：
程序没有严格过滤用户输入的参数，导致sql恶意代码被执行，导致sql注入，如下图14

图 14
危害：
攻击者利用Sql注入可直接获取网站管理员信息，读写文件，拿到网站webshell
修复建议：
1.过滤用户输入的特殊字符，如单引号、双引号等
2.强制类型转换
3.利用mysql预编译机制
前台XSS注入
前台购买卡密XSS注入
概述：
./ajax.php页面action方法create方法未对用户输入参数rel进行任何特殊标签过滤，导致存在存储型xss注入
漏洞测试：
发卡网首页购买卡密，联系方式填写完毕之后，弹出付款框后进行拦截数据包，如图15，图16

图 15

图 16
更改数据包，payload为 ，效果如下图17，图18

图 17

图 18

漏洞成因：
程序未对用户输入的内容进行任何的过滤，导致用户插入js恶意代码，造成xss注入
危害：
1.盗取用户个人信息
2.获取网站cookie
3.蠕虫攻击
修复方式：
1.输入过滤，采用白名单方式或黑名单，过滤用户输入的特殊字符，如<>等
2.输出过滤，使用htmlspecialchars()函数对用户输入参数进行特殊处理
3.使用csp策略，禁用外部脚本
失效的访问控制
未授权访问
概述：
admin目录下文件采用js验证cookie状态，通过禁用js可绕过直接登录到后台
漏洞测试：
访问./admin/index.php，禁用浏览器js可直接登录至后台，如下图19，图20

图 19

图 20

漏洞成因：
admin目录下文件皆使用js验证cookie登录状态，可以通过禁用js进行绕过，导致未授权访问
危害：
攻击者直接绕过js验证访问后台，获取网站信息等
修复方式：
使用php后台进行cookie进行验证用户登录状态
暴力破解访问：
概述：
网站后台登录为进行严格校验，导致弱口令漏洞存在，可进行暴力破解
漏洞测试：
访问后台登录页面./admin ，而后使用burpsuite进行数据包拦截，如下图21，图22

图 21

图 22
使用字典密码进行弱口令爆破，成功爆出密码，如图23

图 23
漏洞成因：
未对密码进行严格校验，导致存在弱口令漏洞存在
修复方式：
1.使用验证码进行校验
2.增加短信验证码
信息泄露：
密码获取
概述：
禁用js绕过cookie验证登录后台后，查看源码，出现管理员密码跳转链接
漏洞测试：
绕过js登录后台之后，打开网页源码，点击管理员配置跳转链接，管理员密码明文传输，如图24，图25

图 24

图 25
漏洞成因：
源码将管理员配置链接暴露且密码明文出现
修改方式：
1.将密码加密传输
2.隐藏后台跳转链接
文件上传漏洞
概述：
后台上传图像使用白名单过滤，可进行抓包更改后缀名上传动态脚本文件
漏洞测试：
更改后台图片，上传图片马使用burpsuite进行抓包，更改后缀名即可，如图26

图 26
访问图片马位置，发现成功被解析，如图27

图 27
漏洞成因：
仅使用白名单过滤，未严格控制文件类型导致意外动态脚本文件被上传解析
漏洞危害：
攻击者可直接上传图片马，拿刀网站webshell
修复方式：
1.严格控制文件上传类型
2.文件上传目录设置不可执行
3.站库分离
代码注入漏洞
概述：
系统邮箱配置输出配置错误导致代码注入漏洞
漏洞测试：
访问./admin/set.php?mod=email ,为不更改原有数据结构，故于最后一栏输入payload
');phpinfo();var_dump(//，如下图28

图 28
使用beyond-compare进行文件比较，发现emailConfig.php发生变化，如图29图30，代码被注入

图 29

图 30
重新访问，出现phpinfo页面，验证成功，如图31

图 31
漏洞成因：
错误的文件配置，将用户输入的内容写入到动态脚本文件中导致被意外执行
漏洞危害：
攻击者可以通过这里写入小马，直接获取到网站webshell
修复建议：
1.更改代码配置，将邮箱配置文件写入其他文件
2.设置此目录不可执行权限