您好,登錄后才能下訂單哦!
本篇文章為大家展示了如何進(jìn)行代碼審計(jì)semcms,內(nèi)容簡明扼要并且容易理解,絕對(duì)能使你眼前一亮,通過這篇文章的詳細(xì)介紹希望你能有所收獲。
使用給搭建環(huán)境:phpstudy2018+phpstrom+Windows10
semcms v3.9 的下載:
http://www.sem-cms.com/TradeCmsdown/php/SEMCMS_PHP_3.9.zip
Semcms v3.9的安裝:
第一步:將解壓后的文件上傳到phpstudy2018網(wǎng)站根目錄
第二步:運(yùn)行install目錄進(jìn)行默認(rèn)安裝(在地址欄輸入http://你的域名/install)
使用phpstorm打開網(wǎng)站文件夾有與瀏覽器打開網(wǎng)站。
通過分析網(wǎng)站首頁index.php文件,發(fā)現(xiàn)第一步需要加載文件web_inc.php文件,此文件是漏洞觸發(fā)文件。見圖3.1
分析web_inc.php文件,發(fā)現(xiàn)初始位置,加載了兩個(gè)文件,一個(gè)是連接數(shù)據(jù)庫的,沒啥看的,另一個(gè)是contorl.php文件,進(jìn)行sql語句的過濾,見圖3.2.
進(jìn)入contorl.php文件分析。發(fā)現(xiàn)僅對(duì)GET請(qǐng)求做過濾,并且采用黑名單過濾,可以繞過。見圖3.3
再分析web_inc.php文件,我們直接分析漏洞點(diǎn)??梢园l(fā)現(xiàn)先判斷是否存在POST請(qǐng)求中是否存在languageID,有就進(jìn)行sql黑名單過濾,然后$Language=$languageID賦值,黑名單我們可以繞過,然后判斷l(xiāng)anguage是否為空,不為空就進(jìn)入if語句,也就是漏洞點(diǎn),將$language變量賦值給sql語句。并且未做單引號(hào)保護(hù)。見圖3.4
漏洞復(fù)現(xiàn)
再瀏覽器中,訪問網(wǎng)站首頁,并開啟post請(qǐng)求。在post框中加入languageID=1 ,訪問,發(fā)現(xiàn)顯示正常。見圖4.1
將languageID的值改為:
1 and ascii(substr(database(),1,1))^109,發(fā)現(xiàn)網(wǎng)頁發(fā)生了變化。這樣就判斷出了數(shù)據(jù)庫名的第一字母就是m,asii碼=109.見圖4.2
這樣攻擊者可以通過不斷的測試數(shù)據(jù)庫每個(gè)字母的asii碼值,最終確定數(shù)據(jù)庫名。
為了方便測試,自己寫了個(gè)簡單的python腳本(sqlmap當(dāng)時(shí)用的少),爆出數(shù)據(jù)庫名。因?yàn)椴聹y的范圍比較大,耗時(shí)可能有點(diǎn)長,但是,畢竟比手工快。見圖4.3
上述內(nèi)容就是如何進(jìn)行代碼審計(jì)semcms,你們學(xué)到知識(shí)或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識(shí)儲(chǔ)備,歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請(qǐng)聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。