【网络安全】深入解析 PHP 代码审计技术与实战

前言

登录某个网站并浏览其页面时，注意到了一些看起来不太对劲的地方。这些迹象可能是该网站存在漏洞或被黑客入侵的标志。为了确保这个网站的安全性，需要进行代码审计，这是一项专门针对软件代码进行检查和分析的技术。在本文中，我们将深入探讨代码审计的重要性和如何进行有效的代码审计。

1.目录遍历漏洞

进入模板功能-模板管理功能处。

发现此处的功能点可以遍历目录下的文件，接下来我们抓包查看当前功能点的代码。

这里说句题外话，之前有不少小伙伴私信我要网络安全相关的资源，我这里都整理好了，需要的自取

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费领取

通过路由找到对应的文件 template.php ,然后接着通过 mudi=manage 进行分支选择进入到对应的函数中。

进入 template.php 文件。

在 manage() 函数中，首先传入了两个参数， dirStr 参数则是控制路径的参数，而 sel 参数则是控制是否进入代码的 if，而最后将路径传入到 File 类下的 GetDirList() 函数中。跟进 GetDirList() 函数

发现使用 opendir() 函数列出目录下的文件

漏洞复现：

进入模板管理功能处，然后进行抓包。

抓包之后，进行测试。

然后在 dirStr 使用.../../来测试目录穿越。

2.任意文件读取漏洞

全局 fread() 函数，发现 Read()函数中调用了 fread() 函数。

然后搜索 Read() 函数的调用情况。

进入 classFile.php 文件。

然后搜索 fread()函数的用法。

发现在 sysCheckFile_deal.php 文件中调用了 File::read() 函数，跟进该函数。

漏洞复现：

根据路由，去构造 url 路径，然后访问。

接着抓包，配合../进行目录穿越读取文件。

3.任意文件删除漏洞

在测试模板管理功能点处，发现该处存在一个删除的功能点，发现存在任意文件删除漏洞。

首先我们通过路由找对相应的源代码 template_deal.php 文件，且这里的路由指向为 DelFile() 函数，该函数中接收了三个参数，其中 filePath 参数为主要控制路径的参数，将 filePath 参数带入到 File::Del()中进行删除。跟进 del() 函数

该函数很简单，首先判断路径是否为空，不为空修改权限最后进行文件的删除操作。

漏洞复现：

进入功能点处。然后点击 X 号。

然后在根路径写入一个 xxx.txt 文件。

然后在 filepath 参数后配合../来删除文件。

4.msql_getshell

在 黑盒 测试中中存在一个 SQL 语句调试 的功能点，该处没有对 SQL 语句关键字的过滤而造成 SQL 语句的任意执行，导致 getshell。

进入功能点处。

然后执行简单的 SQL 语句进行测试。

然后使用抓包工具来定位路由。

然后看一下代码，发现文件的开头以条件分支来选择对应要执行的功能点，由于上述 mudi=sql ，所以我们找到该处要执行的 sql 所对应的函数

通过 OT::PostStr 方法传入五个参数，其中 sqlContent 中是需要传入的 SQL 语句，而下面对

into_outfile 、 global general_log 等 SQL 关键字进行了过滤

在下面检测你填入的后台密码是否正确，如果正确继续执行下面代码，在代码中执行了我们输入

的 SQL 语句。未对其进行过滤完全，导致我们可以绕过过滤，来执行 SQL 语句。

漏洞复现：

首先去开启数据库日志功能，发现有过滤。

然后我们构造 payload 成功绕过过滤。

然后我们写入 phpinfp 文件。

构造 payload，成功写入。

访问之后，成功 getshell。

5.xss 漏洞

进入 users_deal.php

检测 type 是否为数组中的固定值，不是则带入 AlertEnd 方法中跟进 AlertEnd 方法

发现 type 被带<script>标签，使用 AlertFilter 函数处理后直接 alert，跟进 AlertFilter 函数

漏洞复现：

构造 payload，成功实现弹窗。

6.xss 漏洞 2

进入 read.php

发现在 GetCityData 函数中，idName 参数没有做任何处理，带入 GetCituOptionJs 函数中跟进该方法

该方法中 idName 参数被直接带入 DOM 方法中输出

漏洞复现：

要调用 GetCityData 函数需 mudi 参数，然后在 idName 处输入 XSS 的 payload。

成功实现弹框。

7.ssrf 漏洞

在浏览代码过程中，发现该处使用 curl_exec()函数来执行命令。

在函数 UseCurl 中，调用 curl_exec 函数执行了一个 curl 会话，只有 $url 参数可控，即可造成 ssrf 漏洞

进入 info_deal.php

跟进 AddOrRev 函数

接着跟进 PostStr 函数，发现其调用了 post 函数。

跟进 post 函数。

$img 参数通过 POST 方式传入，并且无过滤措施继续跟进 SaveRemoteFile 函数

第二个参数被带入 GetUrlContent 函数，跟进 GetUrlContent 函数

根据可控参数的带入，跟进 UseAuto 函数，并且此处传入 3 个参数 0，GET，$url

根据传入第一个参数 $seMode 为 0，会调用 UseCurl 函数，即进入漏洞关键函数

目前已知漏洞触发链条，接下来只需要根据进入函数的条件，构造 poc 即可

首先需要进入 AddOrRev 函数，只需 $mudi 值为 add

然后需要满足进入 SaveRemoteFile 函数的条件

发现输入的参数为 http://，接着来复现漏洞。

漏洞复现：

访问 url 地址，使用 post 方式，在 img 参数后面输入 dnslog 地址。

成功收到监听。

总结代码审计可以帮助发现各种类型的漏洞。这些漏洞可能包括输入验证问题、授权问题、会话管理问题、跨站点脚本漏洞、SQL 注入漏洞等。