图片来源于百度图片。
==注意:本篇文章仅用于学习以及笔记记录,不得用于其他违规用途。==
一、环境搭建
首先搭建Pikachu靶场环境。
https://github.com/zhuifengshaonianhanlu/pikachu
将下载好的pikachu文件夹放到phpstudy的web服务器根目录下,根据实际情况修改inc/config.inc.php里面的数据库连接设置,
访问pikachu网址,点击初始化安装,即可完成安装。
二、SQL注入代码审计
1、数字型SQL注入
如图所示为SQL数字型注入页面,找到该网页源码。
下图为关键代码:
这里面的SQL语句前后无过滤和判断,使用burp抓包复现:
复现出这种即可证明存在该漏洞。
2、字符型SQL注入
查看源代码:
漏洞复现:
3、http头注入
查看源码:
漏洞复现
4、盲注
查看源码:
漏洞复现:
payload:
kobe'%20and%20'1'='1
kobe'%20and%20'1'='2
5、宽字节注入
查看源码:
漏洞复现:
三、XSS代码审计
1、反射型XSS
查看源码:
漏洞复现:
输入
2、存储型XSS
查看源码:
直接输出用户提交的数据 , 触发储存型XSS
漏洞复现:
四、文件上传
1、前端限制
2、服务端校验
代码分析:
具体函数定义
//只通过MIME类型验证了一下图片类型,其他的无验证,upsafe_upload_check.php
function upload_sick($key,$mime,$save_path){
$arr_errors=array(
1=>'上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值',
2=>'上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
3=>'文件只有部分被上传',
4=>'没有文件被上传',
6=>'找不到临时文件夹',
7=>'文件写入失败'
);
// $_FILES是一个全局数组变量 , 元素也是一个数组 , key为固定的uploadfile
// 判断是否上传失败
if(!isset($_FILES[$key]['error'])){
$return_data['error']='请选择上传文件!';
$return_data['return']=false;
return $return_data;
}
// 判断是否上传失败
if ($_FILES[$key]['error']!=0) {
$return_data['error']=$arr_errors[$_FILES[$key]['error']];
$return_data['return']=false;
return $return_data;
}
//验证一下MIME类型 $mime为白名单数组 , 判断如果不在白名单数组中
//恰巧 $key]['type'] 前端可控可以绕过
if(!in_array($_FILES[$key]['type'], $mime)){
// 提示错误信息
$return_data['error']='上传的图片只能是jpg,jpeg,png格式的!';
// 返回 false
$return_data['return']=false;
return $return_data;
}
//新建一个保存文件的目录
if(!file_exists($save_path)){
if(!mkdir($save_path,0777,true)){
$return_data['error']='上传文件保存目录创建失败,请检查权限!';
$return_data['return']=false;
return $return_data;
}
}
$save_path=rtrim($save_path,'/').'/';//给路径加个斜杠
if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$_FILES[$key]['name'])){
$return_data['error']='临时文件移动失败,请检查权限!';
$return_data['return']=false;
return $return_data;
}
//如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
$return_data['new_path']=$save_path.$_FILES[$key]['name'];
$return_data['return']=true;
return $return_data;
}
$_FILES
array(1) {
["uploadfile"]=>
array(5) {
["name"]=>
string(11) "phpinfo.php"
["type"]=>
string(24) "application/octet-stream"
["tmp_name"]=>
string(53) "C:\Users\Administrator\AppData\Local\Temp\php8374.tmp"
["error"]=>
int(0)
["size"]=>
int(23)}
}
由代码分析得知,服务端只校验了MIME类型,不校验文件后缀 , 直接修改绕过
3、文件头检验
查看源代码
校验函数是 upload , 跟进查看upload
//进行了严格的验证
function upload($key,$size,$type=array(),$mime=array(),$save_path){
$arr_errors=array(
1=>'上传的文件超过了 php.ini中 upload_max_filesize 选项限制的值',
2=>'上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值',
3=>'文件只有部分被上传',
4=>'没有文件被上传',
6=>'找不到临时文件夹',
7=>'文件写入失败'
);// var_dump($_FILES);
if(!isset($_FILES[$key]['error'])){
$return_data['error']='请选择上传文件!';
$return_data['return']=false;
return $return_data;
}
if ($_FILES[$key]['error']!=0) {
$return_data['error']=$arr_errors[$_FILES[$key]['error']];
$return_data['return']=false;
return $return_data;
}
// 上面两个是查看是否上传失败的 , 无关紧要 , 接着看下面的过滤,限制
//验证上传方式 , POST
if(!is_uploaded_file($_FILES[$key]['tmp_name'])){
$return_data['error']='您上传的文件不是通过 HTTP POST方式上传的!';
$return_data['return']=false;
return $return_data;
}
//获取后缀名,如果不存在后缀名,则将变量设置为空
// pathinfo() 函数以数组的形式返回关于文件路径的信息。
$arr_filename=pathinfo($_FILES[$key]['name']);
// 判断是否有后缀
if(!isset($arr_filename['extension'])){
$arr_filename['extension']='';
}
//先验证后缀名 , 后缀名转成小写然后判断是否在 $type 白名单后缀中
if(!in_array(strtolower($arr_filename['extension']),$type)){//转换成小写,在比较
$return_data['error']='上传文件的后缀名不能为空,且必须是'.implode(',',$type).'中的一个';
$return_data['return']=false;
return $return_data;
}
//验证MIME类型,MIME类型可以被绕过
if(!in_array($_FILES[$key]['type'], $mime)){
$return_data['error']='你上传的是个假图片,不要欺骗我xxx!';
$return_data['return']=false;
return $return_data;
}
//通过getimagesize来读取图片的属性,从而判断是不是真实的图片,还是可以被绕过的
// getimagesize(文件名) 函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回
if(!getimagesize($_FILES[$key]['tmp_name'])){
$return_data['error']='你上传的是个假图片,不要欺骗我!';
$return_data['return']=false;
return $return_data;
}
//验证大小
if($_FILES[$key]['size']>$size){
$return_data['error']='上传文件的大小不能超过'.$size.'byte(500kb)';
$return_data['return']=false;
return $return_data;
}
//把上传的文件给他搞一个新的路径存起来
if(!file_exists($save_path)){
if(!mkdir($save_path,0777,true)){
$return_data['error']='上传文件保存目录创建失败,请检查权限!';
$return_data['return']=false;
return $return_data;
}
}
//生成一个新的文件名,并将新的文件名和之前获取的扩展名合起来,形成文件名称
$new_filename=str_replace('.','',uniqid(mt_rand(100000,999999),true));
if($arr_filename['extension']!=''){
$arr_filename['extension']=strtolower($arr_filename['extension']);//小写保存
$new_filename.=".{$arr_filename['extension']}";
}
//将tmp目录里面的文件拷贝到指定目录下并使用新的名称
$save_path=rtrim($save_path,'/').'/';
if(!move_uploaded_file($_FILES[$key]['tmp_name'],$save_path.$new_filename)){
$return_data['error']='临时文件移动失败,请检查权限!';
$return_data['return']=false;
return $return_data;
}
//如果以上都通过了,则返回这些值,存储的路径,新的文件名(不要暴露出去)
$return_data['save_path']=$save_path.$new_filename;
$return_data['filename']=$new_filename;
$return_data['return']=true;
return $return_data;
}
这个时候发现只能使用图片马绕过
使用CMD制作一句话木马。
参数/b指定以二进制格式复制、合并文件; 用于图像类/声音类文件
参数/a指定以ASCII格式复制、合并文件。用于txt等文档类文件
copy 1.jpg/b+1.php 2.jpg
//意思是将1.jpg以二进制与1.php合并成2.jpg
那么2.jpg就是图片木马了。
五、命令执行
查看源代码:
漏洞复现:
京公网安备11010802044340号