生命在于折腾——皮卡丘靶场源码审计(一)

生命在于折腾——皮卡丘靶场源码审计(一)_第1张图片
图片来源于百度图片。
注意:本篇文章仅用于学习以及笔记记录,不得用于其他违规用途。

一、环境搭建

首先搭建Pikachu靶场环境。
https://github.com/zhuifengshaonianhanlu/pikachu
将下载好的pikachu文件夹放到phpstudy的web服务器根目录下,根据实际情况修改inc/config.inc.php里面的数据库连接设置,
访问pikachu网址,点击初始化安装,即可完成安装。

二、SQL注入代码审计

1、数字型SQL注入

生命在于折腾——皮卡丘靶场源码审计(一)_第2张图片
如图所示为SQL数字型注入页面,找到该网页源码。
下图为关键代码:
生命在于折腾——皮卡丘靶场源码审计(一)_第3张图片
这里面的SQL语句前后无过滤和判断,使用burp抓包复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第4张图片
复现出这种即可证明存在该漏洞。

2、字符型SQL注入

查看源代码:
生命在于折腾——皮卡丘靶场源码审计(一)_第5张图片
漏洞复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第6张图片

3、http头注入

查看源码:
生命在于折腾——皮卡丘靶场源码审计(一)_第7张图片
漏洞复现
生命在于折腾——皮卡丘靶场源码审计(一)_第8张图片

4、盲注

查看源码:
生命在于折腾——皮卡丘靶场源码审计(一)_第9张图片
漏洞复现:
payload:
kobe’%20and%20’1’=‘1
kobe’%20and%20’1’='2
生命在于折腾——皮卡丘靶场源码审计(一)_第10张图片

5、宽字节注入

查看源码:
生命在于折腾——皮卡丘靶场源码审计(一)_第11张图片
漏洞复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第12张图片

三、XSS代码审计

1、反射型XSS

查看源码:
生命在于折腾——皮卡丘靶场源码审计(一)_第13张图片
漏洞复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第14张图片
输入
生命在于折腾——皮卡丘靶场源码审计(一)_第15张图片

2、存储型XSS

查看源码:
生命在于折腾——皮卡丘靶场源码审计(一)_第16张图片
直接输出用户提交的数据 , 触发储存型XSS
生命在于折腾——皮卡丘靶场源码审计(一)_第17张图片
漏洞复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第18张图片

四、文件上传

1、前端限制

生命在于折腾——皮卡丘靶场源码审计(一)_第19张图片
生命在于折腾——皮卡丘靶场源码审计(一)_第20张图片
生命在于折腾——皮卡丘靶场源码审计(一)_第21张图片

2、服务端校验

代码分析:
生命在于折腾——皮卡丘靶场源码审计(一)_第22张图片具体函数定义
//只通过MIME类型验证了一下图片类型,其他的无验证,upsafe_upload_check.php
function upload_sick( k e y , key, key,mime,$save_path){
$arr_errors=array(
1=>‘上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值’,
2=>‘上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值’,
3=>‘文件只有部分被上传’,
4=>‘没有文件被上传’,
6=>‘找不到临时文件夹’,
7=>‘文件写入失败’
);
// F I L E S 是一个全局数组变量 , 元素也是一个数组 , k e y 为固定的 u p l o a d f i l e / / 判断是否上传失败 i f ( ! i s s e t ( _FILES是一个全局数组变量 , 元素也是一个数组 , key为固定的uploadfile // 判断是否上传失败 if(!isset( FILES是一个全局数组变量,元素也是一个数组,key为固定的uploadfile//判断是否上传失败if(!isset(_FILES[$key][‘error’])){
$return_data[‘error’]=‘请选择上传文件!’;
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ // 判断是否上传失…_FILES[$key][‘error’]!=0) {
r e t u r n d a t a [ ′ e r r o r ′ ] = return_data['error']= returndata[error]=arr_errors[ F I L E S [ _FILES[ FILES[key][‘error’]];
$return_data[‘return’]=false;
return $return_data;
}
//验证一下MIME类型 $mime为白名单数组 , 判断如果不在白名单数组中
//恰巧 k e y ] [ ′ t y p e ′ ] 前端可控可以绕过 i f ( ! i n a r r a y ( key]['type'] 前端可控可以绕过 if(!in_array( key][type]前端可控可以绕过if(!inarray(_FILES[$key][‘type’], $mime)){
// 提示错误信息
$return_data[‘error’]=‘上传的图片只能是jpg,jpeg,png格式的!’;
// 返回 false
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ //新建一个保存文件…save_path)){
if(!mkdir($save_path,0777,true)){
$return_data[‘error’]=‘上传文件保存目录创建失败,请检查权限!’;
$return_data[‘return’]=false;
return $return_data;
}
}
s a v e p a t h = r t r i m ( save_path=rtrim( savepath=rtrim(save_path,‘/’).‘/’;//给路径加个斜杠
if(!move_uploaded_file( F I L E S [ _FILES[ FILES[key][‘tmp_name’], s a v e p a t h . save_path. savepath._FILES[$key][‘name’])){
$return_data[‘error’]=‘临时文件移动失败,请检查权限!’;
$return_data[‘return’]=false;
return $return_data;
}
//如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
r e t u r n d a t a [ ′ n e w p a t h ′ ] = return_data['new_path']= returndata[newpath]=save_path. F I L E S [ _FILES[ FILES[key][‘name’];
$return_data[‘return’]=true;
return $return_data;

}
$_FILES

array(1) {
[“uploadfile”]=>
array(5) {
[“name”]=>
string(11) “phpinfo.php”
[“type”]=>
string(24) “application/octet-stream”
[“tmp_name”]=>
string(53) “C:\Users\Administrator\AppData\Local\Temp\php8374.tmp”
[“error”]=>
int(0)
[“size”]=>
int(23)
}
}
由代码分析得知,服务端只校验了MIME类型,不校验文件后缀 , 直接修改绕过
生命在于折腾——皮卡丘靶场源码审计(一)_第23张图片

3、文件头检验

查看源代码
生命在于折腾——皮卡丘靶场源码审计(一)_第24张图片
校验函数是 upload , 跟进查看upload
//进行了严格的验证
function upload( k e y , key, key,size, t y p e = a r r a y ( ) , type=array(), type=array(),mime=array(),$save_path){
a r r e r r o r s = a r r a y ( 1 = > ′ 上传的文件超过了 p h p . i n i 中 u p l o a d m a x f i l e s i z e 选项限制的 值 ′ , 2 = > ′ 上传文件的大小超过了 H T M L 表单中 M A X F I L E S I Z E 选项指定的 值 ′ , 3 = > ′ 文件只有部分被上 传 ′ , 4 = > ′ 没有文件被上 传 ′ , 6 = > ′ 找不到临时文件 夹 ′ , 7 = > ′ 文件写入失 败 ′ ) ; / / v a r d u m p ( arr_errors=array( 1=>'上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值', 2=>'上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值', 3=>'文件只有部分被上传', 4=>'没有文件被上传', 6=>'找不到临时文件夹', 7=>'文件写入失败' ); // var_dump( arrerrors=array(1=>上传的文件超过了php.iniuploadmaxfilesize选项限制的,2=>上传文件的大小超过了HTML表单中MAXFILESIZE选项指定的,3=>文件只有部分被上,4=>没有文件被上,6=>找不到临时文件,7=>文件写入失);//vardump(_FILES);
if(!isset( F I L E S [ _FILES[ FILES[key][‘error’])){
$return_data[‘error’]=‘请选择上传文件!’;
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ if (_FILES[$key][‘error’]!=0) {
r e t u r n d a t a [ ′ e r r o r ′ ] = return_data['error']= returndata[error]=arr_errors[ F I L E S [ _FILES[ FILES[key][‘error’]];
$return_data[‘return’]=false;
return KaTeX parse error: Expected 'EOF', got '}' at position 18: …turn_data; }̲ // 上面两个是查看…_FILES[$key][‘tmp_name’])){
$return_data[‘error’]=‘您上传的文件不是通过 HTTP POST方式上传的!’;
$return_data[‘return’]=false;
return $return_data;
}
//获取后缀名,如果不存在后缀名,则将变量设置为空
// pathinfo() 函数以数组的形式返回关于文件路径的信息。
a r r f i l e n a m e = p a t h i n f o ( arr_filename=pathinfo( arrfilename=pathinfo(_FILES[ k e y ] [ ′ n a m e ′ ] ) ; / / 判断是否有后缀 i f ( ! i s s e t ( key]['name']); // 判断是否有后缀 if(!isset( key][name]);//判断是否有后缀if(!isset(arr_filename[‘extension’])){
$arr_filename[‘extension’]=‘’;
}
//先验证后缀名 , 后缀名转成小写然后判断是否在 t y p e 白名单后缀中 i f ( ! i n a r r a y ( s t r t o l o w e r ( type 白名单后缀中 if(!in_array(strtolower( type白名单后缀中if(!inarray(strtolower(arr_filename[‘extension’]),$type)){//转换成小写,在比较
r e t u r n d a t a [ ′ e r r o r ′ ] = ′ 上传文件的后缀名不能为空,且必须 是 ′ . i m p l o d e ( ′ , ′ , return_data['error']='上传文件的后缀名不能为空,且必须是'.implode(',', returndata[error]=上传文件的后缀名不能为空,且必须.implode(,,type).‘中的一个’;
$return_data[‘return’]=false;
return $return_data;
}

//验证MIME类型,MIME类型可以被绕过 
if(!in_array($_FILES[$key]['type'], $mime)){
    $return_data['error']='你上传的是个假图片,不要欺骗我xxx!';
    $return_data['return']=false;
    return $return_data;
}
//通过getimagesize来读取图片的属性,从而判断是不是真实的图片,还是可以被绕过的
// getimagesize(文件名) 函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回 
if(!getimagesize($_FILES[$key]['tmp_name'])){
    $return_data['error']='你上传的是个假图片,不要欺骗我!';
    $return_data['return']=false;
    return $return_data;
}
//验证大小
if($_FILES[$key]['size']>$size){
    $return_data['error']='上传文件的大小不能超过'.$size.'byte(500kb)';
    $return_data['return']=false;
    return $return_data;
}

//把上传的文件给他搞一个新的路径存起来
if(!file_exists($save_path)){
    if(!mkdir($save_path,0777,true)){
        $return_data['error']='上传文件保存目录创建失败,请检查权限!';
        $return_data['return']=false;
        return $return_data;
    }
}
//生成一个新的文件名,并将新的文件名和之前获取的扩展名合起来,形成文件名称
$new_filename=str_replace('.','',uniqid(mt_rand(100000,999999),true));
if($arr_filename['extension']!=''){
    $arr_filename['extension']=strtolower($arr_filename['extension']);//小写保存
    $new_filename.=".{$arr_filename['extension']}";
}
//将tmp目录里面的文件拷贝到指定目录下并使用新的名称
$save_path=rtrim($save_path,'/').'/';
if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$new_filename)){
    $return_data['error']='临时文件移动失败,请检查权限!';
    $return_data['return']=false;
    return $return_data;
}
//如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
$return_data['save_path']=$save_path.$new_filename;
$return_data['filename']=$new_filename;
$return_data['return']=true;
return $return_data;
}

这个时候发现只能使用图片马绕过
使用CMD制作一句话木马。
参数/b指定以二进制格式复制、合并文件; 用于图像类/声音类文件
参数/a指定以ASCII格式复制、合并文件。用于txt等文档类文件

copy 1.jpg/b+1.php 2.jpg
//意思是将1.jpg以二进制与1.php合并成2.jpg
那么2.jpg就是图片木马了。
生命在于折腾——皮卡丘靶场源码审计(一)_第25张图片

五、命令执行

查看源代码:
生命在于折腾——皮卡丘靶场源码审计(一)_第26张图片
漏洞复现:
生命在于折腾——皮卡丘靶场源码审计(一)_第27张图片

你可能感兴趣的:(生命在于折腾,#,皮卡丘靶场代码审计,安全,数据库,web安全)