Bootstrap

从开发角度理解漏洞成因(02)


持续更新中…

文章中代码资源已上传资源,如需要打包好的请点击PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)

文件上传类

需求

1、在博客文件中生成上传文件的功能
2、只允许上传jpg、jpeg、png文件格式

upload.php

<!DOCTYPE html>  
<html>  
<head>  
    <title>文件上传</title>  
</head>  
<body>  
<h2>文件上传</h2>  
<form action="" method="POST" enctype="multipart/form-data">  
    <input type="file" name="upload">  
    <input type="submit" value="上传">  
</form>  
</body>  
</html>  
  
<?php  
header("Content-Type: text/html; charset=UTF-8"); //设置字符集  
//获取文件名字  
@$name = $_FILES['upload']['name'];  
//获取上传文件的类型  
@$type = $_FILES['upload']['type'];  
//获取上传文件的大小  
@$size = $_FILES['upload']['size'];  
//获取上传文件的错误代码  
@$error = $_FILES['upload']['error'];  
//获取上传文件的临时文件名  
@$tmp_name = $_FILES['upload']['tmp_name'];  
  
echo @$name . "<br>";//打印  
echo @$type . "<br>";  
echo @$size . "<br>";  
echo @$error . "<br>";  
echo @$tmp_name . "<br>";  
  
if ($type == "image/jpeg" || $type == "image/jpg" || $type == "image/png") {  
    if (!move_uploaded_file($tmp_name, 'upload/' . $name)) {  
        echo "文件移动失败";  
    } else {  
        echo '/upload/' . $name;  
        echo "文件上传成功";  
    }  
} else {  
    echo "文件类型不正确";  
}  
?>

文件上传漏洞

通过代码分析,做了文件类型的判断,只限于jpeg、png、jpg 三种类型进行上传,那么上传php一句话木马会提示文件类型不正确,并且在目录中未发现上传的文件

试想既然知道有限制,那么我们能不能抓包修改文件类型呢?

上传一个一句话木马文件,文件后缀 .php

<?php @eval($_POST['cmd']);?>

修改为: Content-Type:image/png,放包

发现上传成功并获取到了路径

进行漏洞利用

文件下载类

需求

1、创建一个文件下载的功能
2、在soft文件夹中提取所需要的东西
3、需要有选择框,以供选择

download.php

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>文件下载</title>  
</head>  
<body>  
<h1>直接下载</h1>  
<?php  
// 获取文件路径  
$filepath = '../soft/';  
  
// 获取文件列表  
$filenames = scandir($filepath);  
  
// 创建下载表单  
echo '<form action="" method="POST">';  
echo '需要下载的文件:<select name="name">';  
  
// 生成文件下拉选项  
foreach ($filenames as $filename) {  
    if ($filename != '.' && $filename != '..') {  
        echo '<option value="' . $filename . '">' . $filename . '</option>';  
    }  
}  
  
// 关闭下载表单  
echo '</select>';  
echo '<input type="submit" value="下载">';  
echo '</form>';  
  
// 处理文件下载  
if (isset($_POST['name'])) {  
    $name = $_POST['name'];  
    $file = $filepath . $name;  
  
    // 检查文件是否存在  
    if (file_exists($file)) {  
        $filesize = filesize($file);  
  
        // 设置下载文件的相关头信息  
        header('Content-Type: application/octet-stream');  
        header('Content-Disposition: attachment; filename="' . $name . '"');  
        header('Content-Length: ' . $filesize);  
  
        // 读取文件内容并输出给用户  
        readfile($file);  
        exit;  
    } else {  
        echo '文件不存在!';  
    }  
}  
?>  
</body>  
</html>

文件下载漏洞

分析代码发现下载文件名由name决定,那么我们就可以尝试构造任意文件名,跳目录,造成任意文件下载

抓包

修改文件名,可以任意读取源代码,造成任意文件下载读取漏洞

扩展

文件类漏洞,还有如下漏洞类型,不一一举例,原理都差不多,如:
1、任意文件删除
2、任意文件写入
3、文件包含等等

WEB漏洞核心
1、可控变量
2、特定函数

留言板类(XSS漏洞)

需求

1、生成留言板功能
2、并写一个留言列表功能,可以看到留言人的姓名和内容

XSS漏洞

message.php

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>留言板</title>  
</head>  
<body>  
<h1>留言板</h1>  
  
<?php  
// 处理留言提交  
if (isset($_POST['submit'])) {  
    $name = $_POST['name'];  
    $message = $_POST['message'];  
    $timestamp = date('Y-m-d H:i:s');  
  
    // 将留言信息保存到文件  
    $file = 'messages.txt';  
    $data = $timestamp . ' - ' . $name . ': ' . $message . "\n";  
    file_put_contents($file, $data, FILE_APPEND);  
}  
?>  
  
<form action="" method="POST">  
    <label for="name">姓名:</label>  
    <input type="text" name="name" id="name" required><br>  
  
    <label for="message">留言:</label>  
    <textarea name="message" id="message" rows="4" required></textarea><br>  
  
    <input type="submit" name="submit" value="提交留言">  
</form>  
  
<hr>  
  
<h2>留言列表</h2>  
  
<?php  
// 读取留言列表  
$file = 'messages.txt';  
if (file_exists($file)) {  
    $messages = file($file);  
  
    // 显示留言列表  
    foreach ($messages as $message) {  
        echo $message . '<br>';  
    }  
} else {  
    echo '暂无留言。';  
}  
?>  
</body>  
</html>

通过代码分析,发现留言的信息都存在message.txt 文件里,然后进行读取放到留言列表中,这里可能造成存储型XSS漏洞,那么我们试试构造JS语句,看是否被执行。

点击提交留言,发现存在xss漏洞,并存储在message.txt 文件里,每次刷新都会调用,说明存在存储型XSS漏洞

登录类

需求

1、生成登录页面
2、使用session或cookie进行验证
3、登录时使用验证码校验
4、必须使用‘user1’账号,才能登录管理员后台

login.php(cookie验证)

<!DOCTYPE html>  
<html lang="en">  
<head>  
    <meta charset="UTF-8">  
    <title>登录页面</title>  
    <link rel="stylesheet" type="text/css" href="../login.css">  
</head>  
<body>  
<div class="container">  
    <h2>欢迎登录</h2>  
    <form action="login.php" method="POST">  
        <div class="form-group">  
            <label for="username">用户名:</label>  
            <input type="text" id="username" name="username" required>  
        </div>        <div class="form-group">  
            <label for="password">密码:</label>  
            <input type="password" id="password" name="password" required>  
        </div>        <div class="form-group">  
            <label for="captcha">验证码:</label>  
            <input type="text" id="captcha" name="captcha" required>  
            <img src="captcha.php" alt="验证码">  
        </div>        <button type="submit" name="login">登录</button>  
    </form></div>  
</body>  
</html>  
  
<?php  
session_start();  
  
include('../config/conn.php');  
  
@$username = $_POST['username'];  
@$password = $_POST['password'];  
@$captcha = $_POST['captcha'];  
  
// 验证验证码  
  
if (isset($_POST['login'])) {  
    if (isset($_SESSION['captcha']) && strtolower($captcha) === strtolower($_SESSION['captcha'])) {  
        // 验证用户名和密码  
        $sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";  
        $result = mysqli_query($conn, $sql);  
        echo $sql;  
/*  
        if (mysqli_num_rows($result)) {            echo "登录成功";  
            header("location:../admin/admin_login.php"); // 验证成功跳转到后台页面  
            setcookie("username", $username, 0, '/'); // 设置cookie  
        } else {            echo "用户名或密码错误";  
        }    } else {        echo "验证码错误";  
    }}  
//  
*/  
//session验证  
  
        while (@$row = mysqli_fetch_array(@$result)) {//成功登录后  
            $_SESSION['username'] = $row['username'];//将查询结果的数据进行赋值  
            header("location:../admin/admin_login.php");//验证成功跳转到后台页面  
        }  
    }  
}  
  
?>

admin_login.php(登录校验)

<?php  
include ("../config/login_check.php"); //cookie验证  
  
/*  
session验证  
header("Content-type:text/html;charset=utf-8");//编码  
session_start();  
if (@$_SESSION['username']=='user1'){  
    echo '登录成功,这里是管理员后台';  
}else{  
    echo '非法访问';  
}  
?>  
*/  
?>

login_check.php (cookie验证)

<?php  
//1、先验证登录,才进行代码操作  
//2、cookie验证  
//3、session验证  
header("Content-type:text/html;charset=utf-8");//编码  
@$username = $_COOKIE['username'];//接受cookie  
if ($username == 'user1') {//只有当用户名为'user1'时才能登录到管理员后台  
    echo '登录成功,这里是后台管理界面';  
} elseif ($username != '') {//其他用户验证成功  
    echo '登录成功';  
} else {  
    echo "非法访问";  
}  
?>

captcha.php 验证码

<?php  
session_start();  
  
// 生成随机验证码  
$length = 4; // 验证码长度  
$characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; // 验证码字符集  
$captcha = '';  
for ($i = 0; $i < $length; $i++) {  
    $captcha .= $characters[rand(0, strlen($characters) - 1)];  
}  
  
// 存储验证码到 Session$_SESSION['captcha'] = $captcha;  
  
// 创建验证码图片  
$imageWidth = 110;  
$imageHeight = 80;  
$image = imagecreatetruecolor($imageWidth, $imageHeight);  
$backgroundColor = imagecolorallocate($image, 255, 255, 255);  
$textColor = imagecolorallocate($image, 0, 0, 0);  
  
// 填充背景色  
imagefilledrectangle($image, 0, 0, $imageWidth, $imageHeight, $backgroundColor);  
  
// 绘制验证码文本  
$textX = ($imageWidth - 50) / 2;  
$textY = $imageHeight / 2 + 10;  
imagestring($image, 5, $textX, $textY, $captcha, $textColor);  
  
// 输出验证码图片  
header('Content-Type: image/png');  
imagepng($image);  
imagedestroy($image);  
?>

验证是否符合需求

user1 管理登录后台

其他用户登录,不前往管理员后台

cookie伪造漏洞

通过代码分析,后端校验用户为 user1 即可登录到管理员后台

修改cookie为 user1,刷新即可登录到管理元后台

万能密码登录

通过代码审计发现对数据库做校验的时候,出现了一些问题,如下:

$sql = "SELECT * FROM pass WHERE username = '$username' AND password = '$password'";

把 $username 替换成 如下:

SELECT * FROM pass WHERE username = '1' or 1=1 -- ' AND password = '$password'

这样就形成了,万能密码登录

;