奇安信攻防社区-通过修改代码进行代码审计

通过修改代码进行代码审计

# 通过修改代码进行代码审计 ## 写在前面在平常练习中，可能网上已经报出该源码中的漏洞，但我们可以不先看网上的教程，只需知道它是什么类型的漏洞，在本地搭建环境，试着自己先去寻找这个...

通过修改代码进行代码审计
============

写在前面
----

在平常练习中，可能网上已经报出该源码中的漏洞，但我们可以不先看网上的教程，只需知道它是什么类型的漏洞，在本地搭建环境，试着自己先去寻找这个漏洞，同时学着去修改代码进行对变量的理解，这样我们的代码审计能力会快速提高，说不一定还会有意外收获，在这次beescms源码上传漏洞审计中，最终查询发现自己审计出来的漏洞跟网上报出来的漏洞并不是在同一目录下。

环境搭建
----

**源码下载地址：**[https://pan.baidu.com/s/1FETiU\_Moh7lysaF77ZhFtQ](https://pan.baidu.com/s/1FETiU_Moh7lysaF77ZhFtQ)  
提取码：4534  
**工具：**  
PhpStudy、Seay源代码审计系统

将数据库密码改为自己的数据库的密码

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-62d411c792794950954da66d93609093b708b67d.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-62d411c792794950954da66d93609093b708b67d.png)

访问install目录进行安装

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-c4ca2bf5604ea68dadbd0d9a7067be841c8841ea.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-c4ca2bf5604ea68dadbd0d9a7067be841c8841ea.png)

设置账号密码

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-1714714d004bcfdc5b9d82ac5588f175fb011efc.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-1714714d004bcfdc5b9d82ac5588f175fb011efc.png)

初次代码审计
------

首先搜索上传的关键字，获取上传点，但发现太多文件有上传这个关键字，根本无从下手

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-e9e72817f2ef72232ffefd24fd79fccef41a7e01.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-e9e72817f2ef72232ffefd24fd79fccef41a7e01.png)

于是我就想着搜索文件上传的相关函数$\_FILES

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-03955f36ca9d74c55f580ce30bef009167777f4b.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-03955f36ca9d74c55f580ce30bef009167777f4b.png)

这下看着少多了，任意打开一个来看，就选第一个吧，要登录后台才能成功访问，登录加载后发现有文件上传的页面，有点惊喜。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0882bef82c5dd2b1c405591d7e41ac5125f9d946.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0882bef82c5dd2b1c405591d7e41ac5125f9d946.png)

配合抓包工具来分析参数，在包的末尾发现两个参数，再用参数去定义到文件中的代码段

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-eedde328f3d7775b6c6c7c4acca18ec076086ccf.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-eedde328f3d7775b6c6c7c4acca18ec076086ccf.png)

在文件中搜索参数，分析这段代码，重点在is\_uploaded\_file()函数中的内容，is\_uploaded\_file()函数判断指定的文件是否是通过 HTTP POST 上传的，这段代码主要是对上传文件操作的处理

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-00879648e4d76ed2c780deb66b3546a858b84739.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-00879648e4d76ed2c780deb66b3546a858b84739.png)

在这段代码中，网上搜索发现PHP没有自带up\_file()函数，而且注释中标注处理上传后的图片信息，看到这个让我引起了注意，接着定位该函数

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-ea5962a84e7a017932b4d1b17b0c0fce165a1bd1.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-ea5962a84e7a017932b4d1b17b0c0fce165a1bd1.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-d701a5d8a085580a2a216c780fdfd6afda7eb708.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-d701a5d8a085580a2a216c780fdfd6afda7eb708.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-f6bde1c2844e966b47b11782d82a044ff6ea0f76.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-f6bde1c2844e966b47b11782d82a044ff6ea0f76.png)

将上传文件的包放出去，看看返回信息

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0645048ff5f9e050120dd55050b51d701a715e91.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0645048ff5f9e050120dd55050b51d701a715e91.png)

返回的信息有什么特点呢？发现上面返回的错误信息跟fun.php中的代码信息一样，为了进一步确认，于是我改动那个文件中的信息

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-22ace65543db7f0a5b3dae8b3ab945730d67969a.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-22ace65543db7f0a5b3dae8b3ab945730d67969a.png)

继续上传文件，发现返回的信息跟我们修改的信息一样

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-538f031b00841fa9267c03ec5bb721948eaee39b.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-538f031b00841fa9267c03ec5bb721948eaee39b.png)

由此说明代码段是在这里执行，并且该段代码有进行文件大小、类型的判断，文件大小可以忽略不计，关键在于文件类型，如何让我们上传自己想上传的文件类型呢？file\_type就是获取文件的类型，怎么获取的呢？pathinfo ()函数以数组的形式返回关于文件路径的信息，并且赋值给pic\_name，file\_type获取pic\_name中的extension值，也就是文件的类型，type为自定义类型列表，也就是包含允许上传的文件类型的内容。为了区分type与file\_type值，我进行代码改写，输出type值，这样就可以更好的了解type的意思了。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-6796bb68e36d665aaeaca8a968e45aa429788a84.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-6796bb68e36d665aaeaca8a968e45aa429788a84.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-2a05221b9bb5ef83d49fe10b97aeda5f7b1e6747.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-2a05221b9bb5ef83d49fe10b97aeda5f7b1e6747.png)

file\_type的值怎样才可以更改成我们想要的值呢？为了方便起见我用PHP在线运行，pathinfo()函数进行测试，看下如何获取extension值，通过各种测试，比如截断、垃圾字符等，发现extension的值都是最后点的值，这个上传点测试漏洞无效，没有漏洞。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-fc008e97f448d876949ff310f88896a54df8088c.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-fc008e97f448d876949ff310f88896a54df8088c.png)

当然此时我们遇到这种情况时，内心还是非常焦灼的，很多人遇到这样就几乎想放弃了，可现实中的代码审计就是这样，几乎不可能一下子得到答案，所以我们不能放弃，回到最初的那样，继续测试其他文件，下面这次审计终于成功了。

再次代码审计
------

选择admin\_pic\_upload.php文件，继续抓包去文件中分析变量，这里分析pic\_cate

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-b1e88a562ec92aa4fb91e5e3941ce80f9e0adb83.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-b1e88a562ec92aa4fb91e5e3941ce80f9e0adb83.png)

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-7a39a406fbc33d5b616dd0aff55face2fc787237.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-7a39a406fbc33d5b616dd0aff55face2fc787237.png)

文件上传主要看过滤，up\_img()函数用来处理提交的内容，array数组记录着要验证的type类型，所以接下来我们要详细了解up\_img()函数。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-fb671af1d769424fd22c3949c684f02d5abb1d33.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-fb671af1d769424fd22c3949c684f02d5abb1d33.png)

定位up\_img()函数，分析这段代码，重点在于验证type的值，pathinfo()函数获取上传文件的信息后，将它赋值给pic\_name，file\_type获取上传文件中的type值，及数据包中Content-Type后的值，strtolower()函数将file\_type所有字符转换为小写与array数组中的type值进行比较，in\_array() 函数搜索array数组中是否存在与file\_type相等的值，如果存在就上传。由于只验证了Content-Type值，可以确定这里存在漏洞。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-155f58ee39beb51c77dc939e2efcf9ed21eac238.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-155f58ee39beb51c77dc939e2efcf9ed21eac238.png)

漏洞利用
----

抓包按图修改值

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-004ef618c8fca182c66a181c3e42d6a58cab8e91.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-004ef618c8fca182c66a181c3e42d6a58cab8e91.png)

本地对应目录查看文件是否上传成功

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0c7b0fa8878da79e777d5444ee0ec59d7ae30162.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-0c7b0fa8878da79e777d5444ee0ec59d7ae30162.png)

访问该地址，在这里为了更好的体验效果我在上传的图片中加入了&lt;?php phpinfo(); ?&gt; 可以明显的看到我们上传的图片类型变成我们想要的类型，代码也被执行，最后我在上网查询了其他人的代码审计http://cn-sec.com/archives/311436.html 发现别人的目录跟我的不一样，也算是意外的惊喜。

[![](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5261e62326ed5d1c9be5b8e5a5006e8c7d8ff560.png)](https://shs3.b.qianxin.com/attack_forum/2021/07/attach-5261e62326ed5d1c9be5b8e5a5006e8c7d8ff560.png)

总结
--

我们不能说测试一个文件发现没有漏洞就想着放弃，往往一个漏洞的发现并不是那么轻而易举，不要认为别人代码审计就是文章中的那么短，那是因为别人是将成功的案例直接发出来，其中也会遇到无数的困难，没有写出来而已，在平时的代码审计过程中，我们要学会通过修改代码，输出自己想要的变量值，来进行分析，可以加深我们对代码的理解，这样我们的代码审计能力会慢慢的提高，效率也会得到提高，而不是一味的跟着别人的思路去想。

发表于 2021-07-10 11:54:35
阅读 ( 4173 )
分类：漏洞分析

通过修改代码进行代码审计

0 条评论