标签：文件 php get 漏洞 过滤 User 复现 awd 2018

首先这里需要搭建一个cms的平台得到：

利用D盾进行漏洞扫描得到：

5级的eval后门漏洞

可以看到这里有一个5级的eval后门漏洞，我们查看文件得到源码：

这是一句话后门，我们利用一下这个后门得到：

这里能cat flag

修补增加过滤或者删除漏洞

2级的fwrite审计：

利用seay工具进行代码审计：
源码：

可以发现这是一个日志记录，但是它把记录的日志都写入到了
/var/www/html/log.php文件，这就造成文件写入漏洞

我们利用这个log1.php用get的方式写一个<?php phpinfo();?>
测试一下漏洞：

然后我们访问log.php文夹得到：

发现执行了phpinfo()；

所以我们可以利用这个文件写入，去写入一句话木马

修复：

1、可以把log.php改成log.txt
2、增加危险字符过滤

2级漏洞eval(get_defined_vars()[’_GET’][‘cmd’]);

查看源码得到：

get_defined_vars()此函数返回一个包含所有已定义变量列表的多维数组，这些变量包括环境变量、服务器变量和用户定义的变量。

所有会获取所有的get方法，所有直接cmd执行命令：

修复：
1、进行危险字符过滤
2、把后门删除

在利用seay进行代码审计：

首先我们分析一下首页，index.php
：

发现包含了很多文件，这里有个/common/function.php文件
我们去访问这个文件得到：

可以看到这里把c作为一个对象，a作为一个方法进行调研

在index.php中可以看到，如果不给c传值会赋值为User
所有c的对象为User.php文件
所有看向User.php文件

我可以看到User这个类功还是挺多的，我们看向Login方法

sql注入

发现这里没有任何的过滤，所有登陆界面存在sql注入：

登陆得到：

修复：
进行危险字符过滤

命令执行

我在User.php看到：

看到这里有一个命令执行
我们在index.php哪里进行get请求
a=User&c=ping

然后在进行host请求：

发现执行了命令
利用命令：

127.0.0.1|cat /flag.txt

修复漏洞;
进行危险字符过滤

反序列化

在seay中全局查询反序列化函数得到：

反序列化漏洞源码：

payload:

class home{
    
    private $method;
    private $args; 
}
	$a = new home("ping",array('127.0.0.1|cat 	/flag.txt'));
	$b = serialize($a);
	echo base64_encode($b);

得到：

Tzo0OiJob21lIjoyOntzOjEyOiIAaG9tZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGhvbWUAYXJncyI7YToxOntpOjA7czoyNDoiMTI3LjAuMC4xfGNhdCAJL2ZsYWcudHh0Ijt9fQ==

得到flag。

漏洞修补：

过滤危险字符

本人比较菜漏洞审计就到这里，不妥的地方大佬勿喷

其它漏洞我也审计不出来直接上waf通防范。

标签：文件,php,get,漏洞,过滤,User,复现,awd,2018
来源： https://blog.csdn.net/plant1234/article/details/122023748

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。