思维导图
案例1:demo代码段自写和规则写分析
具体见上一篇文章
案例2:hsycms-TP框架-不安全写法-未过滤
<1>分析程序源码,首先找到入口文件
<2>然后修改config.php文件,使app_debug=true,app_trace=true,打开调试模式。
<3>寻找网址对应的程序文件。
方法1:使用phpstorm或者seay系统打开程序源码,寻找路由,查看路由规则,找到各url访问地址对应的程序文件。比如product/133.html对应的程序文件就是/index/show/index,即app/index/controller/show.php页面中的index()方法。-->优点是可以直接找到对应的方法。
方法2:刷新页面,查看调试信息-流程页面,找到网址对应的文件,一步到位。-->缺点是只能找到对应的文件show.php,至于对应的方法还需进一步分析。
<4>查看新闻,发现每个新闻对应不同的id,比如下面新闻对应id=150
<5>查看该新闻页面对应的程序源码,发现了使用TP5框架规则写好的sql语句
<6>刷新页面时,使用数据库监控软件监控到了执行的SQL语句,正好与源码对应。
<7>尝试注入测试,将id修改为150sads,发现值未被过滤,直接被带入SQL语句。
<8>使用sqlmap尝试扫描,确定有sql注入。
小技巧:在注入点处加*,提示sqlmap扫描此处。
sqlmap.py -u http://127.0.0.1/news/150*.html --batch --current-user --current-db
<9>寻找原因。查询源代码,发现虽然SQL语句使用规则写法,但是接收变量id时不规范,使用了自定义的input方法。
进一步跟进input方法,发现使用其方法传参无过滤,导致ID可控,存在注入。
<10>修复建议:使用规范方法传参,比如:
$id = input(‘?get.id’);
$id = input('?post.id');
$id = request()->get('id/a');
参考:https://www.cnblogs.com/7bit/articles/10551499.html
案例3:weipan21-TP框架-规则写法-内置过滤
<1>通过url地址可以猜测到路由地址未更改
<2>审计源码,发现均使用了规则写法,追踪调试,也没发现漏洞。
<3>查看版本,网上搜索相关版本对应的漏洞,使用公开payload测试,寻找可能的漏洞点。
thinkphp历史漏洞集合:https://github.com/Mochazz/ThinkPHP-Vuln
<4>查看框架历次更新说明,寻找可能的漏洞点。重点看每次版本迭代都修改了哪些代码,找到对应漏洞点。很多漏洞可能网上并没有发布,通过这种方法可以分析出来。
