当前位置:首页 > 未分类 > 正文内容

带你挖掘文件包含漏洞之代码审计 #4 实战五个案例

admin9年前 (2017-05-26)未分类683

在 PHP 安全中,文件包含漏洞是危害严重的漏洞!本文不再讲解基础概念,直接进入实战环节。

一、文件包含漏洞挖掘要点

  1. 核心关键字:require()、require_once()、include()、include_once()(注意:函数名中括号与参数间存在空格,效果相同);

  1. 本次实战对象:CMS 系统 ECShop_V2.7.3_GBK_release1106(测试中发现 4 个文件包含漏洞,后续补充第 5 个案例)。

二、实战案例解析

案例一:通过include_once定位的文件包含漏洞

  1. 漏洞定位

以include_once为关键字在 CMS 源码中搜索,发现大量相关调用,其中一处可疑代码位置如下:

进一步定位到具体漏洞文件地址:

  1. 代码分析

双击打开漏洞文件,查看核心代码逻辑:

关键代码:$directory = ROOT_PATH . 'includes/modules/shipping';,结合上下文判断,变量$file可控,无有效过滤。

  1. 漏洞利用

    • 进入includes/modules/shipping目录,新建test.php文件,写入phpinfo()代码:

    • 构造 URL 访问,成功执行phpinfo():

案例二:可控变量$shipping导致的文件包含漏洞

  1. 漏洞定位

搜索发现另一处可疑代码,涉及include_once调用:

打开文件查看详细代码:

  1. 代码分析

变量$shipping通过 POST 请求赋值,且无过滤直接传入包含函数:

include_once(ROOT_PATH . 'includes/modules/shipping/' . $shipping . '.php');,确认$shipping可控。

  1. 漏洞利用

    • 进入includes/modules/shipping目录,确认已存在test.php(含phpinfo()):

    • 构造 POST 请求访问,成功执行代码:

案例三:可控变量$payment导致的文件包含漏洞

  1. 漏洞定位

发现类似案例二的代码逻辑,变量$payment可疑:

  1. 代码分析

$payment通过 POST 请求传入,无过滤直接用于包含:

include_once(ROOT_PATH.'includes/modules/payment/'.$payment.'.php');,确认$payment可控。

  1. 漏洞利用

    • 进入includes/modules/payment目录,新建2.php(含phpinfo());

    • 构造 POST 请求访问,成功执行代码:

案例四:$_REQUEST['code']未过滤导致的文件包含漏洞

  1. 漏洞定位

发现直接使用$_REQUEST['code']的包含代码,无任何过滤:

  1. 代码分析

核心代码:include_once(ROOT_PATH.'includes/modules/payment/'.$_REQUEST['code'].'.php');,code参数完全可控。

  1. 漏洞利用

    • 进入includes/modules/payment目录,新建测试文件;

    • 构造 URL 传入code参数,成功执行代码:

案例五:快速定位的第五个文件包含漏洞

  1. 漏洞定位

延续前序思路,快速发现另一处可控变量的包含代码:

  1. 代码分析

变量无过滤,直接用于文件包含,原理与前四个案例一致。

  1. 漏洞利用

    • 确认包含目录,新建测试文件:

    • 构造 URL 访问,成功触发漏洞:

三、实战总结

文件包含漏洞挖掘核心技巧:定位包含函数→判断变量是否可控→无过滤则可利用。本次在 ECShop 系统中快速发现 5 个漏洞,可见此类漏洞在老旧 CMS 中较为常见,需重点关注用户可控变量的过滤情况。

(注:实战中需遵守法律规定,仅对授权系统进行测试,禁止未授权渗透!)


扫描二维码推送至手机访问。

版权声明:本文由克拉玛依十三年年社团发布,如需转载请注明出处。

本文链接:https://www.klmyssn.com/?id=41

分享给朋友:

“带你挖掘文件包含漏洞之代码审计 #4 实战五个案例” 的相关文章

(原创)NOIP [全国青少年信息学奥林匹克联赛] 初赛之后的杂谈

(原创)NOIP [全国青少年信息学奥林匹克联赛] 初赛之后的杂谈

没人能比我更懂你。这次的 noip 初赛考的很砸,比数学还砸。深夜的情感就像熬过冬日的野草。我们都在寻找,寻找着一个能够和自己差不多的人,去对他倾诉自己的情感,去倾听他的情感。在一次一次的失败,一次又一次的成功后,留下的只是回忆;在一次次的交流中,一次次的倾听中,留下的是感情。就像我们总是在学习,却...

(原创)想学黑阔?这些书可以带你飞![web 安全书籍]

(原创)想学黑阔?这些书可以带你飞![web 安全书籍]

这些是我多年前收集的一些 web 安全相关书籍,虽当初未能坚持系统学习,但书籍本身质量较好,现分享给大家,希望能为想学 web 安全的朋友提供帮助!书籍资源获取百度云链接:http://pan.baidu.com/s/1jHVch9O提取密码:bauj...

(原创)还在担心伙食费?学完这个就不用担心啦!【ACR122复制】【饭卡破解】【破解食堂饭卡】【饭卡漏洞】【M1卡破解】

(原创)还在担心伙食费?学完这个就不用担心啦!【ACR122复制】【饭卡破解】【破解食堂饭卡】【饭卡漏洞】【M1卡破解】

(原创)还在担心伙食费?学完这个就不用担心啦!【ACR122复制】【饭卡破解】【破解食堂饭卡】【饭卡漏洞】【M1卡破解】本人小菜一枚,技术不精请多指教~~~~~~~~——————By-5431开始吧!!!!作为集团公司里的一员,享受员工待遇是应该的,入职的时候说好的包吃住,现在呢???自从饭堂承包出...

(原创)校园卡破解系列之权限克隆 [pm3 破解饭卡][pm3 克隆数据][校园卡克隆][IC 卡克隆]

(原创)校园卡破解系列之权限克隆 [pm3 破解饭卡][pm3 克隆数据][校园卡克隆][IC 卡克隆]

一、免责声明本文主张交流与科研学习,请勿对文中提及的内容进行恶意使用!本社团及作者对读者后续的行为不承担任何法律责任。此文章是综合之前饭卡复制、权限提升漏洞后的合并版本,后半部分聚焦饭卡破解;若看过之前文章,可直接跳转至 “(一)饭卡权限提升” 章节。二、基础准备:工具与测试对象1. 核心工具:PM...

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

(原创)求人不如求己 -- 剪辑音乐就是这么简单 [如何剪辑音乐]

每每到了学校有活动,需要播放歌曲时,QQ 就多几个好友,消息又 99+,不消问什么事情,就知道是找我剪辑歌曲的同学了。怎么说,我这人对别人提出的需求,都尽力去帮助的,在剪辑音乐这事情上,从没拒绝过,但年复一年,每次剪辑音乐其实很简单,但是量多,就比较影响自己时间了,我又不会拒绝别人,很是尴尬,所以在...

小讲堂心得

小讲堂心得

参加小讲堂活动,是受邀两位学习部的同学十分热情的邀请,为同学们讲讲网络安全方面的知识。我感到十分荣幸,但又有些许担忧,怕讲不好,因为网络安全这个学科涉及的知识面十分宽泛,网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理...