代码审计----sql注入篇
web安全 内网安全。
目录
反序列化漏洞分析篇
1-----------反序列化漏洞分析
2-----------session反序列漏洞分析
PHP代码审计篇
1-----------文件上传
2-----------SQL注入
说在前面
次审计纯属分享审计过程和审计思路 请勿用于非法用途!
审计过程
拿到源码 我们可以本地搭建 进入后台看看有什么可能存在漏洞功能块。
我们可以看到里面有一些功能 里面有一个sql的写入框 有问题看看有没有过滤 我们随便输入东西看一看
看来存在过滤
但是我们有源码不怕 通过报错信息里有一个非法操作 放到工具里面源码审计系统搜搜看
发现里面1到17个都有感叹号 说明这个程序运行是在最后一个里面 发现后面两个都是在同一个php文件里面我们先看第一个
后来发现最后面两个搜索结果都是同一个地方 可能是搜索结果出现问题了
回到正题 通过这个搜索我们还不能判断是否程序运行在这里 我们再看看里面的参数有titl limits orders isall sqls
等等他们都是通过frparam函数将这些参数里面的具体内容传递给$data这个数组里面 既然是参数可以肯定在抓
包的时候会出现 我们就抓个包试试
在前面那个功能块里面点击保存 并抓包
我们可以看到里面的参数和我们源码里面看到的参数一样且sql的输入框框是sqls这个参数 基本可以肯定是这里了
接下来就是代码审计了
我们可以看到他做了一个if判断 通过frparam函数的运行结果是否等于1,我们看看frparam函数这个函数一看就
是自定义的,对于自定义的函数肯定有function frparam这个函数声明,我们去搜一搜。
找到了 点进去看看
可以看到它是获取URl的参数值,通过前面调用这个函数 他已经go和1传过来了 所以这里的$str和$int为go和1。
这里$data = $this->_data;意思是把前端的所有数据传过来 这时候再判断$str是否为空 再通过这个array_key_exists函数判断
$str是否在不在$data里面,显然都不满足 所以跳过 后面他在$method变量判断 显然是为空的 因为我们没有赋值给他就默认
了然后把 $data[$str]赋值给$value了,最后再return format_param($value,$int,$default);看一看format_param函数。
这里他参数过滤 格式化了 通过前面传来的int=1 我们直接跳到case 1:里面他通过
SafeFilter函数进行了过滤 我们定位看看
可以看到他里面过滤了xss攻击了 简单看了一下 是过滤xss的 顺便看下这个框框有没有xss漏洞
通过 $arr = preg_replace($ra,'',$arr)这个函数判断$arr有没有在$ra里面 有就替换成空了看到
$ra里面就过滤了一些基本的js语句,可能会有,然后再接着看下去 就回到前面了。
可以看到他又把传来的$值给html实体了。。。没戏。
不慌 我们接着看下去。
可以看到他判断php版本了 大于等于7.4就会通过addslashes函数在每个双引号"前添加反斜杠 然后再return $value
如果没有大于等于 就会判断是否开启魔术方法了,没有就会和上面一样,通过addslashes函数在每个双引号"前添加
反斜杠 然后再return $value,说到这我只能说这代码写的真严谨。。。
好了 这里看完了,回到前面。
这里return的值就是层层过滤后的$value的值了 这里运行结束,然后我们再返回去看前面。
好了 一个frparam函数终于看完了 后面好多个都是通过这个frparam层层筛选的和前面一样 就不多说 我们再往下看。
太长了,截两张 这里他对这个sqls参数进行了stripos函数判断 这个stripos函数是查找我们指定的字符在字符串中第一次出现
的位置 如果有就会输出位置也就是不等于false,也就是为真了,代码里他通过多次或逻辑 只要有一个为真就会执行if里面的
非法操作 这个代码 所以我们只要绕过这些判断 也就是全为假 可以看到他对update,delete,insert,drop,truncate进行
了对比 我们只要不适用这些函数就OK了。
看到我箭头画的就是执行顺序了 他直接就带入执行了 说明存在漏洞。
漏洞验证
我们只要的插入sql语句的时候不要有上的敏感字符就可以了 payload我相信大家都会写
我就不废话了就直接放sqlmap跑了。
|
