PHP代码审计示例（一）——淡然点图标系统SQL注入漏洞审计

今天继续给大家介绍渗透测试相关知识，本文主要内容是PHP代码审计示例——淡然点图标系统SQL注入漏洞审计。

免责声明：
本文所介绍的内容仅做学习交流使用，严禁利用文中技术进行非法行为，否则造成一切严重后果自负！
再次强调：严禁对未授权设备进行渗透测试！

一、关键字查询

首先，我们将项目代码导入Seay代码审计系统，然后使用系统的关键字搜索功能，直接搜索“select”关键字。在搜索时，要注意选择不区分大小写选项，以便筛选出更多的符合条件的代码，关键字查询页面如下所示：

二、PHP代码查看

关键字查询可以帮助我们查找到符合要求的代码，但是该代码片段究竟是否存在漏洞，还需要我们去人为验证。我们可以在查看代码时，查看哪些在SQL语句中，含有参数的部分，即上图中红色的部分。双击该部分的代码，就可以查看该代码片段的详细信息了，如下所示：

从上图中可以看出，ywX函数中存在一个SQL查询语句，通过该语句，我们可以看到有ID参数嵌入到了SQL语句中。但是该代码片段只是定义了一个存在SQL漏洞的函数，而真正存在SQL注入漏洞的地方，还取决于在什么地方调用该函数。
接下来，我们在全局搜索中搜索yxW关键字，结果如下所示：

找到调用的位置，如下所示：

然而，当我们访问该文件对应的URL时，却发现结果如下所示：

三、验证绕过

出现上述页面，我们需要继续查找源码，搜索页面中的文字信息，发现验证代码如下所示：

分析上述源代码，可以看出，代码从SERVER头中获取了HTTP_HOST和HTTP_REFERER字段的值，然后进行处理后对数据进行校验，如果我们没有设置HTTP_HOST和HTTP_REFERER，那么校验就会失败，因此会EXIT退出。
我们使用火狐浏览器设置HTTP_HOST和HTTP_REFERER字段，则结果如下所示：

从上图中可以看出，虽然我们绕过了以此验证，但是结果却返回“请输入完整”，我们继续重复上述过程，查找代码如下所示：

我们根据代码要求，以GET的方式传入api、u和p三个变量，在这里要注意api变量的值为“OK”。则结果如下所示：

这样，我们就完成了验证绕过了。

四、payload构造与漏洞验证

从上述可以分析出，我们可以构造如下所示的payload：

http://127.0.0.1/sqqyw/php/v144.php?u=1&p=1&api=ok&id=1 and sleep(if(length(database())<=10,3,1))--+

在这里，由于ywX函数被使用在if语句中，并没有反馈，因此我们需要使用SQL盲注的方式来获取数。或者使用SQLMAP工具，在指定REFERER头后，批量获取数据，结果如下所示：


从上述结果可以看出，我们成功的进行了PHP代码审计，分析出了代码中存在的一个SQL注入漏洞。
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200