乌云1000个PHP代码审计案例（1）

前两天发现的宝藏网站：https://php.mengsec.com/

在github上面找到了源代码：https://github.com/Xyntax/1000php，可以在自己的服务器上面搭建

跟数据结构学习一样，每天跟着上面前辈们的案例进行审计，打基础+学习思路

1，BlueCMS v1.6 sp1 ad_js.php SQL注入漏洞

使用seay自动审计工具

可以看到第一条可能出现的漏洞点就是ad_js.php

我们跟进去看，

经过getone函数在数据库里面查询出结果并赋值给$ad变量，同时可以看到$ad_id没有包裹引号

getone函数是在数据库里面进行查询的函数

mysqli_fetch_array() 函数从结果集中取得一行作为关联数组，或数字数组，或二者兼有。也就是从数据库中查询。

我们往上看$ad_id变量的输入位置是否有过滤。

可以看到对于GET方法输入的ad_id变量仅仅是使用trim函数去除了输入值两边的空格，此外就没有另外的过滤了，所以该点确实存在SQL注入漏洞。

真实环境下利用很简单，使用union联合注入即可出数据

修复方法：$ad_id = !empty($_GET['ad_id']) ? intval($_GET['ad_id']) : '';

将输入的数据强行转换成整型

2，Discuz！7.2/X1 第三方插件SQL注入及持久型XSS漏洞

这里分析SQL注入漏洞，插件是由Discuz！认证的（http://addons.discuz.com/workroom.php）第三方开发团队“潮流少年工作室 Teen Studio”出品的心情墙插件（http://www.discuz.net/forum.php?mod=viewthread&tid=1632898）

因为去找漏洞插件太麻烦了，我这里直接贴上漏洞源代码吧

elseif($action == 'edit_mood' && moodid) {

          //moodid未初始化，直接代入sql查询

	  $check = $db->result_first("SELECT * FROM {$tablepre}moodwall WHERE id='$moodid' AND uid='$discuz_uid'");

	  if(!$check || !$moodid) {

		  showmessage('moodwall:moodwall_inc_php_2', 'plugin.php?id=moodwall&action=user_mood');

	  }

	  $sql = "SELECT * FROM {$tablepre}moodwall WHERE id='$moodid'";

	  $query = $db->query($sql);

	  $moodlist_edit = array();

	  while($mood_edit = $db->fetch_array($query)) {

		  $moodlist_edit[] = $mood_edit;

	  }

　　可以看到$moodid变量在单引号包裹下代入$sql语句进行查询

$sql = "SELECT * FROM {$tablepre}moodwall WHERE id='$moodid'";

　　但是在这里漏洞的发现者也说了，需要网站magic_quotes_gpc=off，在magic_quotes_gpc=On的情况下，如果输入的数据有单引号（’）、双引号（”）、反斜线（）与 NULL（NULL 字符）等字符都会被加上反斜线。

不过实际上还可以有宽字节注入等特殊情况对网站进行注入

3，ecshop SQL注射漏洞

因为没有详细的ecshop版本信息，所以同样不进行源码的下载，在wooyun大大的基础上直接进行分析

在include_libcommon.php中存在如下函数，get_package_info函数

function get_package_info($id)
{
    global $ecs, $db,$_CFG;
    $now = gmtime();
    $sql = "SELECT act_id AS id,  act_name AS package_name, goods_id , goods_name, start_time, end_time, act_desc, ext_info".
           " FROM " . $GLOBALS['ecs']->table('goods_activity') .
           " WHERE act_id='$id' AND act_type = " . GAT_PACKAGE;
　　$package = $db->GetRow($sql);
　　/* 将时间转成可阅读格式 */
　　if ($package['start_time'] <= $now && $package['end_time'] >= $now)
　　{
　　　　$package['is_on_sale'] = "1";
　　 }
　　else
　　{
　　　　$package['is_on_sale'] = "0";
　　}
　　$package['start_time'] = local_date('Y-m-d H:i', $package['start_time']);
　　$package['end_time']   = local_date('Y-m-d H:i', $package['end_time']);
　　$row = unserialize($package['ext_info']);
　　unset($package['ext_info']);
　　if ($row)
　　{
　　　　foreach ($row as $key=>$val)
　　　　{
　　　　　　$package[$key] = $val;
　　　　}
　　}
    $sql = "SELECT pg.package_id, pg.goods_id, pg.goods_number, pg.admin_id, ".
　　　　" g.goods_sn, g.goods_name, g.market_price, g.goods_thumb, g.is_real, ".
　　　　" IFNULL(mp.user_price, g.shop_price * '$_SESSION[discount]') AS rank_price " .
　　　　" FROM " . $GLOBALS['ecs']->table('package_goods') . " AS pg ".
　　　　"   LEFT JOIN ". $GLOBALS['ecs']->table('goods') . " AS g ".
　　　　"   ON g.goods_id = pg.goods_id ".
　　　　" LEFT JOIN " . $GLOBALS['ecs']->table('member_price') . " AS mp ".
　　　　"ON mp.goods_id = g.goods_id AND mp.user_rank = '$_SESSION[user_rank]' ".
　　　　" WHERE pg.package_id = " . $id. " ".
　　　　" ORDER BY pg.package_id, pg.goods_id";
　　$goods_res = $GLOBALS['db']->getAll($sql);
　　$market_price        = 0;

　　可以看到$sql语句里面代入了输入的$id，我们再定位谁调用了get_package_info函数，在系统的lib_order.php中。

function add_package_to_cart($package_id, $num = 1)
{
    $GLOBALS['err']->clean();
　　/* 取得礼包信息 */
　　$package = get_package_info($package_id);
　　if (empty($package))
　　{
　　　　$GLOBALS['err']->add($GLOBALS['_LANG']['goods_not_exists'], ERR_NOT_EXISTS);
　　　　return false;
　　}

　　可以看到调用get_package_info函数赋值给了$package变量，而$package_id变量是传递给add_package_to_cart函数的，在该函数中也没有看到有对变量的过滤，寻找调用add_package_to_cart函数的文件

在flow.php中存在可控的输入源

$package = $json->decode($_POST['package_info']);
    /* 如果是一步购物，先清空购物车 */
     if ($_CFG['one_step_buy'] == '1')
    {
　　　　 clear_cart();
　　}
　　/* 商品数量是否合法 */
　　if (!is_numeric($package->number) || intval($package->number) <= 0)
　　{
　　　　$result['error']   = 1;
　　　　$result['message'] = $_LANG['invalid_number'];
　　}
　　else
　　{
　　/* 添加到购物车 */
　　　　if (add_package_to_cart($package->package_id, $package->number))
　　　　{
　　　　　　if ($_CFG['cart_confirm'] > 2)

　　而在这里$package->package_id是我们可以控制的输入源，根据刚才函数调用的过程，对于我们的这个输入并没有其余的过滤，可知存在SQL注入漏洞

4，Discuz!漫游插件API本地包含漏洞

先上代码 manyou/api/class/MyBase.php

128: function parseRequest() {

131: $request = $_POST;

132: $module = $request['module'];

133: $method = $request['method'];

...

174: return $this->callback($module, $method, $params);

175: }

177: function callback($module, $method, $params) {

...

191: @include_once DISCUZ_ROOT.'./manyou/api/class/'.$module.'.php';

　　在parseRequest函数里面，可以看到最后return调用了callback函数，并且传入的三个参数都是我们可以控制的输入，而callback函数里面使用include_once函数包含了当前路径下的传递的$module.php文件

PHP中文件包含函数有以下四种：

    require()

    require_once()

    include()

    include_once()

　include和require的区别在于include在包含的时候出现错误的时候，会抛出一个警告，然后程序继续运行，而require函数在出现错误的时候，会直接报错并且退出程序的执行

require_once和include_once这两个函数与前两个不同的地方在于，这两个函数只包含一次，适合于脚本执行期间同一个文件可能被包括一次以上的情况时，你想确保它只包含一次以避免函数重定义，变量重新赋值等问题

参考自：https://www.freebuf.com/articles/web/182280.html

在这里我们可以控制$module变量，但是这里是有限制的文件包含，因为在后面加上了.php的后缀，当我们想包含当前文件夹任意文件的时候，如果magic_quotes_gpc = Off php版本<5.3.4，我们可以使用%00截断的方式，当然还有其他很多的方式可以绕过这个限制，如果在这里还存在目录穿越漏洞的话，我们就可以包含服务器任意文件了，而不是限制在这个文件夹下。

5，PHPCMS通杀XSS

这里是一个反射型XSS漏洞，在我要报错功能页下,过滤不严格

http://**.**.**.**/error_report/error_report.php?title=1&contentid=1"><script>alert(/xss/)</script>

　　反射型XSS漏洞比较容易通过扫描器黑盒直接发现，只需要将尖括号，单双引号等提交到web服务器，检查返回的HTML页面里面有没有保留原来的特殊字符即可判断。

在白盒审计中，我们只需要寻找带有参数输出函数，然后根据输出函数对输出内容回溯输入参数，观察有没有进行经过过滤

6，phpcms 2008 sp4 爆路径及任意文件删除漏洞

漏洞文件是corpandresize/config.inc.php

$tmp = $_COOKIE['tmp'];

define("TMP_PATH", $tmp);

　　在cookie参数中获取tmp，同时定义TMP_PATH等于变量tmp的值

使用到TMP_PATH的位置是corpandresize/process.php

@unlink(TMP_PATH.'/'.$thumbfile);

　　这里使用unlink函数删除文件，我们可以使用%00截断删除我们想要删除的任意文件

如在cookie中添加tmp=../index.php%00，按照上面的分析过程，就可以删除首页文件

7，phpcms2008本地文件包括及利用（执行任意SQL脚本）

漏洞文件存在于wap/index.php

代码如下：

<?php

include '../include/common.inc.php';

include './include/global.func.php';

$lang = include './include/lang.inc.php';

if(preg_match('/(mozilla|m3gate|winwap|openwave)/i', $_SERVER['HTTP_USER_AGENT']))

{

header('location:../');

}

wmlHeader($PHPCMS['sitename']);

$action = isset($action) && !empty($action) ? $action : 'index';

if($action)

{

include './include/'.$action.'.inc.php';

}

$html = CHARSET != 'utf-8' ? iconv(CHARSET, 'utf-8', $html) : $html;

echo str_replace('<br/>', "<br/>\n", $html);

wmlFooter();

?>

　　可以看到在这一段代码里有：

$action = isset($action) && !empty($action) ? $action : 'index';
if($action)
{
    include './include/'.$action.'.inc.php';
}

　　isset() 函数用于检测变量是否已设置并且非 NULL。在这里即检测$action是否设置，同时检测$action是否为空，空的话就赋值为index，非空即传入值，接着就是包含传入的$action.inc.php文件，对于输入的$action没有进行过多的检测

可以包含存在sql语句的php文件，执行任意sql语句来对漏洞进行利用

例如包含目录include\fields\areaid 下任一文件，执行任意SQL脚本。

比如field_add.inc.php文件，我们只需要传入的$action=fields/areaid/field_add，field_add.inc.php文件代码为：

<?php

if(!$maxlength) $maxlength = 255;

$maxlength = min($maxlength, 255);

$sql = "ALTER TABLE `$tablename` ADD `$field` VARCHAR( $maxlength ) NOT NULL DEFAULT '$defaultvalue'";

$db->query($sql);

?>

　　在这里我们只需要传入$tablename变量就可以执行$sql语句进行查询

最后的payload为：http://www.phpcms.cn/wap/index.php?action=../../include/fields/areaid/field_add&tablename=xx

8，Ecshop2.7.2持久型XSS（可获得管理员帐号）

可以看到当POST传输的数据extend_field_index没有任何的过滤就进入数据库进行更新了。

这里的输入是密码保护问题这一项，我们可以在密码保护问题里输入XSS，但是后台查看会员资料是不显示密码保护问题的，所以这里必须要网站后台添加了新的 “会员注册项”时，后台查看资料就会显示了，显示了之后就可以进行XSS攻击了。

这里不懂的地方是原漏洞作者导入外部js的时候,js文件里面的内容是Ajax：

Ajax.call('privilege.php?act=update','id=1&user_name=heihei&email=10001@**.**.**.**','',"POST","JSON");

而不是写入外部js盗取管理员cookie，以后明白了再补充这里。