如何進(jìn)行代碼審計(jì)semcms

本篇文章為大家展示了如何進(jìn)行代碼審計(jì)semcms，內(nèi)容簡明扼要并且容易理解，絕對(duì)能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

環(huán)境搭建：

使用給搭建環(huán)境：phpstudy2018+phpstrom+Windows10

• semcms v3.9 的下載：

http://www.sem-cms.com/TradeCmsdown/php/SEMCMS_PHP_3.9.zip

• Semcms v3.9的安裝：

• 第一步：將解壓后的文件上傳到phpstudy2018網(wǎng)站根目錄

• 第二步：運(yùn)行install目錄進(jìn)行默認(rèn)安裝(在地址欄輸入http://你的域名/install)

• 使用phpstorm打開網(wǎng)站文件夾有與瀏覽器打開網(wǎng)站。

代碼審計(jì)：

通過分析網(wǎng)站首頁index.php文件，發(fā)現(xiàn)第一步需要加載文件web_inc.php文件，此文件是漏洞觸發(fā)文件。見圖3.1

圖3.1

分析web_inc.php文件，發(fā)現(xiàn)初始位置，加載了兩個(gè)文件，一個(gè)是連接數(shù)據(jù)庫的，沒啥看的，另一個(gè)是contorl.php文件，進(jìn)行sql語句的過濾，見圖3.2.

圖3.2

進(jìn)入contorl.php文件分析。發(fā)現(xiàn)僅對(duì)GET請(qǐng)求做過濾，并且采用黑名單過濾，可以繞過。見圖3.3

圖3.3

再分析web_inc.php文件，我們直接分析漏洞點(diǎn)?？梢园l(fā)現(xiàn)先判斷是否存在POST請(qǐng)求中是否存在languageID，有就進(jìn)行sql黑名單過濾，然后$Language=$languageID賦值，黑名單我們可以繞過，然后判斷l(xiāng)anguage是否為空，不為空就進(jìn)入if語句，也就是漏洞點(diǎn)，將$language變量賦值給sql語句。并且未做單引號(hào)保護(hù)。見圖3.4

圖3.4

• 漏洞復(fù)現(xiàn)

再瀏覽器中，訪問網(wǎng)站首頁，并開啟post請(qǐng)求。在post框中加入languageID=1 ，訪問，發(fā)現(xiàn)顯示正常。見圖4.1

圖4.1

將languageID的值改為：

1 and ascii(substr(database(),1,1))^109,發(fā)現(xiàn)網(wǎng)頁發(fā)生了變化。這樣就判斷出了數(shù)據(jù)庫名的第一字母就是m,asii碼=109.見圖4.2

這樣攻擊者可以通過不斷的測試數(shù)據(jù)庫每個(gè)字母的asii碼值，最終確定數(shù)據(jù)庫名。

為了方便測試，自己寫了個(gè)簡單的python腳本（sqlmap當(dāng)時(shí)用的少），爆出數(shù)據(jù)庫名。因?yàn)椴聹y的范圍比較大，耗時(shí)可能有點(diǎn)長，但是，畢竟比手工快。見圖4.3

圖4.3

上述內(nèi)容就是如何進(jìn)行代碼審計(jì)semcms，你們學(xué)到知識(shí)或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備，歡迎關(guān)注億速云行業(yè)資訊頻道。