首页 ? 安全工具 ? 正文

小白代码审计开山篇

发表于: 知之为知 2019-10-21?·? 23 views ?·? 小白代码审计开山篇已关闭评论?

最近小白一直在学习代码审计,对于我这个没有代码审计的菜鸟来说确实是一件无比艰难的事情。但是着恰恰应了一句老话:万事开头难。但是小白我会坚持下去。何况现在已经喜欢上了代码审计,下面呢小白就说一下appcms后台模板Getshell以及读取任意文件,影响的版本是2.0.101版本。其实这个版本已经不用了,小白也是拿这个来说一下自己理解的php的代码审计。开源的CMS就是舒服,不仅可以对最新版的来做代码审计,进而获取到cnvd证书,这样对自己的经验添加了不少光彩。话不多说,下面来开始进行本地的代码审计。

环境准备

1、win10—>可选;

2、wamp—>可选;

3、burpt—>抓包工具;

4、Sublime text—>文本;

5、appcms-2.0.101安装包;

注明:在安装完毕我们进入后台后会提示将安装目录下admin目录进行重命名,否则会报错的。我将这个目录重命名为cmdback目录。

直捣黄龙

小白在学习代码审计的时候就听说有这款代码审计神器,这款审计看了一下介绍都是匹配的危险函数,然后罗列出来,生成代码审计报告,代码审计人员再根据可能存在的漏洞进行验证。小白我前期主要是先找一下代码审计的感觉,所以就没有用这样自动化的工具。

环境搭建完毕后,小白通常会以渗透测试的思维去找网站后台的敏感接口,这些接口一般都会与数据库通信,说不定存在SQL注入、文件上传漏洞、任意文件删除漏洞等。比如数据库备份、模板信息、上传文件等。其实今天看的是后台getshell的一个漏洞,这个漏洞是存在于后台的模块管理,对应的php代码是存在于appcms\upload\admin(原始目录,安装后需要重命名)\template.php文件。

下面来通读一下着端模板修改的代码:

在代码的第90行定义了一个全局变量$page, $dir = dirname(__FILE__) . ‘/../templates/’ . TEMPLATE,这段代码是来定义目录的,dirname()函数是返回路径中的文件名部分;那么helper :: escape_stripslashes是个什么东东?通过查找在core目录下的一个类文件helper.class.php,文件中定义了一个helper的类。在文件中搜索escape_stripslashes。我们来看一下591–599的代码主要是说的什么,if条件判断语句

在php中,strnatcasecmp()函数是使用来通过一种”自然”算法来比较两个字符串,比较字符串不区分大小写。如果两个字符串相等,即一样,函数返回0。如果字符串1小于字符串2,函数返回小于0的数。如果字符串1大于字符串2,函数返回大于0的数;

get_magic_quotes_gpc //判断php中是否打开了gpc;

stripslashes($str) //在代码中删除反斜杠,进行对内容进行过滤;

我们再次返回再次回到template.php文件中,我们使用var_export()函数输出或返回一个变量的字符串表示,找到代码的第93行,在上面一行加入var_export($str . “/” . $page[‘post’] [‘filename’]);die;

到此为止,通过代码我们已经找出了这个点可以getshell,那我们去getshell一下,我们先写一个php文件,内容为:,看看能不能getshell.这样我们就可以获取到webshell。

任意文件读取漏洞

这个漏洞代码也是在管理后台的同一个文件中,先附上漏洞代码:

我们看一下第79行后面的代码,这段代码主要是未对用户输入的做过滤条件以及未对文件目录的访问权限做限制,这样用户就可以直接读取网站内部的敏感信息。if语句中的is__file()判断文件是否存在,80行$filecont = helper::get_contents($dir . “/” . $page[‘get’] [‘filename’]);这是调用一个类,那好我们去追一下这个类,类的文件还是 helper.class.php。定义一个通过静态函数get_contents,$retry = 3 //定义一个数字型的变量;$content=” //定义一个字符型的变量,while语句来循环判断$content是否为空,并且$restry是否大于0,都满足条件的话就会将整个文件读取到一个一个字符串中,$retry– 是自减一;

下面我们来测试一下是否存在任意文件读取的漏洞,成功读取test.txt文件的内容,这个漏洞的代码审计有点简单,但是简单归简单,危害性有的时候就特大,如果读取到网站的服务器以及数据库信息,那就不用搜索别的信息,直接就可以横扫内网。

个人总结

小白个人感觉代码审计还是比较有趣的,毕竟自己可以通过代码来看到不同漏洞是怎么发现的,有什么欠缺的地方还望大佬批评。

*本文原创作者:cmdgaga,本文属于FreeBuf原创奖励计划,未经许可禁止转载

本文链接: http://www.znlrs.cn/4422.html
?上一篇: :下一篇?

相关文章

Jenkins脏牛漏洞FRP内网提权

*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径 0...

IAST原理分析以及在SDL中的应用

一、我为什么要分析IAST 最近在实施SDL项目想改进下自动化...

从宽字节注入认识PDO的原理和正确使用

前言 随着数据库参数化查询的方式越来越普遍,SQL...

挖洞经验 | 利用两个僵尸账户实现对任意Instagram账户的远程崩溃

本文中,作者通过对Instagram的安全研究,结合In...

挖洞经验 | 利用文件上传功能构造实现针对后端验证机制的RCE漏洞

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技...

挖洞经验 | Telegram消息撤回功能存在BUG可导致用户隐私泄露(€2,500)

这不是一个安全漏洞而是一个隐私问题(Privacy I...