🌟 ❤️

作者：yueji0j1anke

首发于公号：剑客古月的安全屋

字数：3516

阅读时间:    35min

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。合法渗透，本文章内容纯属虚构，如遇巧合，纯属意外

目录

• 介绍

• 漏洞审计

• 总结

0x01 大体介绍

经历了.net审计，最近开始找php站进行练手，php审计点要多一些，大差不差，都是围绕关键词来展开。

0x02 工具配备

我这里本地环境准备的是sexy，phpstorm以及phpstudy

checklist如下

sql注入->    select   mysqli  mysqluery   insert
​
文件上传->    $_FILES type="file" upload 
​
xss   ->    print echo sprintf  var_dump
​
文件包含  ->   require include 等四个函数
​
代码执行  ->  eval assert  call_user_func  preg_replace
​
命令执行  ->  system exec  shell_exec popen  proc_open
​
变量覆盖  —>  parse_str()  extract()  $$
​
反序列化  ->  serialize() construct destruct
​
ssrf    ->   file_get_contents
​
文件删除  ->   unlink
​
变量寻找   ->   $_GET $_POST  $_FILES  $_REQUEST

0x03 审计过程

php系统首先需要看看路由情况

庆幸的是，这里有readme，可以直接了解大概、

大致路由就是 xxx(controller层)/controller(子层)/函数

老规矩，审计登录接口练练手感

结果一来就给我gg了

做了源代码混淆，尝试找到key进行逆向

审计了一下，并没有明显的漏洞，cookie认证授权动态加密随机分配，密码被des加密进入数据库进行验证。

此时每一个php文件都基本加密，我懒得统一解密，直接路由上去一个个审计功能点。

1.sql注入点

寻找的搜索点会被转义，sqlmap专门用了转义脚本也未能发现注入点

东摸一下，西摸一下

发现在点击报告类型时会出现一个参数专门统计时间戳，且该时间戳可以被任意修改，sqlmap跑了一下，嘎嘎出洞

找到对应路由进行逆向，发现对应sql语句

并没有存在过滤，在同目录下进行相同逆向操作

发现另外sql注入两处

2.文件上传

白盒审计路由找了半天没找到文件上传点，直接逆向了几个大目录，全局搜索

找了半天，终于在uploadxx.php下找到了对应功能点

可以进行客户导入，抓包修改

成功上传回显路径，拼接路径进行访问

同理，在相关函数搜索下，找到了其他几个文件上传路由点。

0x04 总结

此次审计大概2h，比起常规的tp框架，这次的审计框架相对简单的多，框架大概自己做了自增删，本来还想审查框架漏洞，但基本上都做了加密混淆，遂放弃。