- 微信
- 微博
  
  分享文章到微博
- 复制链接
  
  复制链接到剪贴板

代码审计-记对xx商城的一次审计

亿人安全发表于 2023/05/31 23:55:56 2023/05/31

【摘要】 title: 某商城代码审计date: 2021-09-04 08:26:42tags: - web - PHPcategories: - 代码审计comments: true审计开始第一处先来到admin.php页面先不登录查看源码admin.php 页面require()引入了一个common.php页面 require()是php的内置函数，作用是引入或者包含外部php文件。工作原...

title: 某商城代码审计
date: 2021-09-04 08:26:42
tags:
 - web
 - PHP
categories:
 - 代码审计
comments: true

审计开始

第一处

先来到admin.php页面先不登录

查看源码

admin.php 页面require()引入了一个common.php页面 require()是php的内置函数，作用是引入或者包含外部php文件。工作原理：当本身php文件被执行时，则外部文件的内容就将被包含进该自身php文件中；当包含的外部文件发生错误时，系统将抛出错误提示，并且停止php文件的执行。注意：使用require时，一个文件存在错误的话，那么程序就会中断执行了，并显示致命错误。然后接着往后面看

这里发现一个sql语句看起来是没有什么防护的可能有突破忘前面看寻找$m

在28行和29行发现$m 有两种发送赋值一种是通过file_get_contents函数另一种是如果$m是空的话就自动赋默认值默认值没什么看的我们不能控制我们看看这个file_get_contents函数 file_get_contents() 函数把整个文件读入一个字符串中。然后在file_get_contents函数内部发现了php://input 输入流 php://input可以读取没有处理过的POST数据所以这里就导致了 post数据可控然后继续往下看

$m会调用一个Dec函数我们跟进这个函数

这个函数使用了json_decode函数 json_decode — 对 JSON 格式的字符串进行编码

说明输入流传入的数据需要json格式然后继续往后看 return会判断$c的值 false的话就直接把解码后的json数据返回出去但是前面代码调用的时候传入的true 所以会返回一个函数Rpl 继续跟进这个函数

这个函数用到了foreach is_array is_string 等函数 Foreach函数是用来遍历数组的

Is_array函数是判断变量是否为数组 Is_string 同理判断是否为字符串

所以这个函数的大概意思就是将解码后的json数据通过foreach遍历为键值的形式值为数组的话则递归调用判断是否为数组直到为字符串才进入下一个判断在下一个elseif里面这通过str_replace 进行过滤经过ascii码值过滤掉 / * ‘ “ % 空格然后返回过滤后的数据

然后回到admin.php页面 32行判断$m[‘act’]的值是否为idx和lgn 因为用的&& 所以只要同时不等于两个就会进入if 执行sql 又因为前面过滤掉的字符对sql语句影响不大直接构造语句

来到admin.php页面然后刷新抓包

然后改变请求方式

构造

payload: {“act”:”ttt”,”uid”:”123||sleep(5)”} 延时5秒 因为没有回显位尝试盲注

也是可以的后面盲注就不继续测试了

第二处

通过审计工具发现一处可能存在注入的地方

然后跟进

发现是在会员保存的地方属于需要进入后台我们先登入后台来到会员保存的地方

然后点击保存抓包

然后通过代码分析

要$m[‘ID’]的值乘1不为0 才会进入else 所以进行改包

下面这个if是通过$m[‘Nm’]判断名字是否重复如果重复的话就终止后续执行了所以名字随便也改一下然后来到第二个if 里面有sql语句

只看到这个ID这个位置后面先不看这里没有过滤等操作也没有单引号直接构造

payload：{“act”:”suv”,”uid”:”1”,”sid”:”zC1fEUcZ0CZAHAde”,”ID”:”1||sleep(5)”,”Nm”:”12653”,”Nc”:”123”,”Np”:”123”,”Ne”:0,”Nv”:0}