实战，不安全写法引发的注入

这个bc靶场源码没有，看老师演示

打开很明显的tp框架源码

拿到tp框架之后第一步，搜索版本信息5.0.5

两个思路

1.代码的不安全写法

2.版本自身存在的漏洞

全局搜索where看看也没有不安全的

哎？！

然后记录一下文件路径名字，方法名字，参数

然后直接按照tp框架的访问路径，构造一下url

这里先前台注册一个账号登陆进去

哎？访问路径报错哈

但是看调试是正常执行了

不回显那就直接盲注好了

成功

全局搜索到了第二个存在不安全写法的文件

.号，一个连接符号，相当于直接拼接上了

危险方法是chicjisopen，然后就看谁调用了他，右键查找用法

看到在

goods里面有一个调用

看到传递的值pid，那看看这个pid这个值从那获取

从goods方法获取，那就可以直接构造url了

就把上一个方法改成goods方法进行，因为别的文件和参数都一样

版本漏洞引发的安全问题.

sql注入漏洞

测试一下下面提供的源码，写在代码里面测试版本漏洞是否真实存在

根据复现poc，即使是安全写法，依然存在漏洞问题

这个漏洞的入口点是因为exp，如果不存在这个exp就没有办法

而这个源码，没有写exp这个函数在sql语句里面，就没有入口点，无法利用这个漏洞

文件包含漏洞

有这两句代码就能触发tp的文件包含漏洞

写一个测试点

然后根据文档的poc

成功文件包含

但这个利用条件很苛刻，因为get是接受get传输的任意值，那就是发送的get变量要完全可控

assign（可控变量）

有很多但是assign内容不可控

也是没找到入口点

缓存漏洞

这个接受tp的一个应用功能，有设置缓存就可以访问目标地址的时候url带着后门信息，tp就会把后门信息缓存到一个固定的php文件里面，造成后门写入

写一个测试点

可控变量是username

访问

就自动多了一个php文件

利用条件也是用了那个函数加上可控变量

命令执行漏洞（存在）

5.0.5版本的命令执行

试一试，这个倒是存在

这个语法第一个fileput是写文件函数，2.php是文件名字，后面是木马代码

我们这里就复现一下只需要执行命令，把函数缓存system，文件名换成要执行的命令就行

存在

反序列化漏洞无

xss挖掘

存储型xss才有这个扩大危害的可能，而tp框架挖掘xss要困难一些，因为retuen在tp框架可能是返回结果也可能是输出

反射性xss一般要发链接给管理员钓鱼，利用难度高

然后存储型xss得让管理员主动去看，才有最大的价值，这里就要想管理员喜欢看什么东西，然后不知不觉触发xss。

这就登陆到后台看看，管理员喜欢看什么，流水和自己的用户

而这些显示内容的信息都可以测试也没有存储xss

黑盒思路就是盲猜那些信息会在后台显示，管理员也经常看

而这里，用户名这里就会造成存储xss

注册的时候写一个存储xss直接拖cookie。

从代码中看，根据路径找代码，admin下的user的list函数，就是数据区查询东西，然后this返回，没有看到什么过滤

再去看前端文件，userlits.html

就获取用户名然后显示在前端，没有任何过滤，直接造成存储xss漏洞

逻辑漏洞（脆弱的权限验证）

不登陆访问后台界面，提示请先登录

直接在源码中搜索请先登录在哪出现

首先验证userid是否存在，存在在进行下一个token验证，而token验证的值就是固定死md5加密值，这就可以伪造登录

正常的验证逻辑是token是随机值来判断，输入正确的密码生成随机token值

这里就很抽象了抓一下他正确登陆之后的cookie

字段是denglu，值是下面那些

直接在cookie写入这个字段和值

在访问admin

直接进后台

还有后台可以上传任意文件，没有任何检测

如何扩大战果（同种资产）

思路

特定图标

特定文件

特定url链接

特定的盲注

这里就可以打组合拳，最容易搜索到

像这种特有的js文件

url那个就是搜特定链接语法，script就是搜特定js链接

而这个是有一个特殊的图标，

这个可以直接保存下来，然后在queke上传

、

jian

kang