漏洞分为系统漏洞和应用漏洞,系统漏洞以二进制漏洞为代表,其挖掘难度较高需要对反汇编和操作系统原理深入理解,而除了系统漏洞以外还有一些应用漏洞,包括不限MySQL,Apache,为代表的Web漏洞,这里我们就挖掘PHP代码层面的漏洞。
漏洞的挖掘也分为,点对点挖掘漏洞,和分散式挖掘漏洞,这我们主要使用点对点挖掘,在挖掘是我们需要找一些关键字,漏洞本身就是两个条件,可控的函数,和可控的变量。
1.首先打开about.php源代码,然后 $GET[r] 通过GET的方式接收一个传递参数,然后通过使用 addslashes 函数过滤,addslashes函数的作用是转义,将多余的单引号全部转义,转义以后交给llink变量保存结果,然后拼接SQL查询语句,由于拼接代码 $llink中存在单引号,那我们需要手动闭合单引号,一旦闭合单引号addslashes函数就起了作用,会自动过滤掉单引号,所以这里无法被绕过。
<?php
require 'inc/conn.php';
require 'inc/time.class.php';
$query = "SELECT * FROM settings";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$info = mysql_fetch_array($resul);
$llink = addslashes($_GET['r']);
$query = "SELECT * FROM nav WHERE link='$llink'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$navs = mysql_fetch_array($resul);
?>
2.打开另一个 content.php 观察下方的PHP代码,虽然有很多处数据库的操作,但是带入查询时都是通过单引号括起来的,并且每一个语句都强制使用addslashes函数进行了不同程度的转义,这里并没有可利用的地方。
<?php
require 'inc/conn.php';
require 'inc/time.class.php';
$query = "SELECT * FROM settings";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$info = mysql_fetch_array($resul);
$id=addslashes($_GET['cid']);
$query = "SELECT * FROM content WHERE id='$id'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$content = mysql_fetch_array($resul);
$navid=$content['navclass'];
$query = "SELECT * FROM navclass WHERE id='$navid'";
$resul = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$navs = mysql_fetch_array($resul);
//浏览计数
$query = "UPDATE content SET hit = hit+1 WHERE id=$id";
@mysql_query($query) or die('修改错误:'.mysql_error());
?>
<?php
$query=mysql_query("select * FROM interaction WHERE (cid='$id' AND type=1 and xs=1)");
$pinglunzs = mysql_num_rows($query)
?>
3.打开 submit.php 文件,观察代码发现这里作者写遗漏了,这里并没有过滤函数的过滤,而且都是POST方式传递的参数,明显可以使用POST注入。
<?php
session_start();
require 'inc/conn.php';
$type=addslashes($_GET['type']);
$name=$_POST['name'];
$mail=$_POST['mail'];
$url=$_POST['url'];
$content=$_POST['content'];
$cid=$_POST['cid'];
$ip=$_SERVER["REMOTE_ADDR"];
$tz=$_POST['tz'];
if ($tz==""){$tz=0;}
$jz=$_POST['jz'];
将代码向下翻,可以看到 SELECT * FROM interaction WHERE( mail = '$mail') 这么一条查询语句,这条语句虽然 $mail 参数被加了单引号,但是由于没有进行有效的过滤,所以我们可以通过构建一些SQL语句巧妙地闭合它。
//查询用户头像数据
$query = "SELECT * FROM interaction WHERE( mail = '$mail')";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$tx = mysql_fetch_array($result);
if (!mysql_num_rows($result)){
$touxiang = mt_rand(1,100);
}else{
$touxiang = $tx['touxiang'];
}
继续向下找,同样的在最下方也发现了存在查询语句 SELECT * FROM download WHERE( id= $cid) 这个cid参数,也没有进行合法化的检查,也是一个SQL注入漏洞。
if ($type==3){
$query = "SELECT * FROM download WHERE( id= $cid)";
$result = mysql_query($query) or die('SQL语句有误:'.mysql_error());
$wz = mysql_fetch_array($result);
$title=$wz['title'];
$body ='<div style="border:1px double #06f;">
上方两处就是这个CMS系统的注入漏洞,虽然mail参数上有单引号,但是并没有检查合法化,这里我们只需要将其闭合掉就可以。
这两个变量我们能够操作他,因为它带入到数据库查询了,我们只需要把前面的单引号闭合掉。
4.上方的漏洞文件在 /files/submit.php,且文件的开头都是 $_POST['xxx']; 明显这是POST注入,这里如果直接使用 http://127.0.0.1/cms/files/submit.php 访问的话会报错,原因是包含不到 require 'inc/conn.php'; 这个文件,我们继续看下主 index.php 是怎么包含的,如下代码:
<?php
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>
如上:首先通过 $_GET['r] 接收一个参数,然后传递给file,action 如果为空则等于index,最终包含 files/.action.php,如果要访问 /files/submit.php 包含以后的写法是:?r=submit 或者完整写法 /index.php?r=submit
5.为了方便演示,我们在 submit.php 文件中加入以行打印函数,echo $mail; 打印出mail里面的参数
<?php session_start(); require 'inc/conn.php'; $type=addslashes($_GET['type']); $name=$_POST['name']; $mail=$_POST['mail']; echo $mail; < ------------------------ $url=$_POST['url'];
然后使用火狐浏览器的hackBar插件进行POST注入,如下图注入成功了。
除此之外,login.php 文件中也存在一个注入漏洞 /cms/admin/?r=login ,我们可以直接写出他的exp ,但是这里没有地方可以完成回显,但漏洞是存在的。
直接记下 http://127.0.0.1/cms/admin/?r=login 网址然后,我们打开SQLMAP跑一下。