php代码审计之install.php重装漏洞

最新推荐文章于 2022-06-26 12:29:13 发布
最新推荐文章于 2022-06-26 12:29:13 发布
阅读量1.3k 收藏 2
点赞数 1
分类专栏: php代码审计 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cj_Allen/article/details/104194856
版权

前言:

这套php的源码是之前上课的时候老师发给我的,里面包含了很多的常规的漏洞,个人感觉非常适合初学者来进行审计(本人php菜鸡),今天发的文章也是之前审计过的,个人感觉比较具有实战意义,所以就整理更新到csdn上来,也是为了方便广大的基友们学习。

审计步骤:

下面贴出来的是install.php文件的代码:

<?php

if ( file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock') ) {
	header( "Location: ../index.php" );

}

require_once '../header.php';

function check_writeable( $file ) {
	if ( file_exists( $file ) ) {
		if ( is_dir( $file ) ) {
			$dir = $file;
			if ( $fp = @fopen( "$dir/test.txt", 'w' ) ) {
				@fclose( $fp );
				@unlink( "$dir/test.txt" );
				$writeable = 1;
			}
			else {
				$writeable = 0;
			}
		}
		else {
			if ( $fp = @fopen( $file, 'a+' ) ) {
				@fclose( $fp );
				$writeable = 1;
			}
			else {
				$writeable = 0;
			}
		}
	}
	else {
		$writeable = 2;
	}
	return $writeable;
}

$sys_info['mysql_ver']     = extension_loaded( 'mysql' ) ? 'OK' : 'NO';
$sys_info['zlib']          = function_exists( 'gzclose' ) ? 'OK' : 'NO';
$sys_info['gd']            = extension_loaded( "gd" ) ? 'OK' : 'NO';
$sys_info['socket']        = function_exists( 'fsockopen' ) ? 'OK' : 'NO';
$sys_info['curl_init']        = function_exists( 'curl_init' ) ? 'OK' : 'NO';

echo '<div id="ourhp_er">';
echo '<h1>系統環境</h1>';
echo '<p>服務器操作系統:&nbsp;....................................................................&nbsp;'.PHP_OS.'</p>';
echo '<p>Web 服務器:&nbsp;....................................................&nbsp;'.$_SERVER['SERVER_SOFTWARE'].'</p>';
echo '<p>PHP 版本:&nbsp;....................................................................&nbsp;'.PHP_VERSION.'</p>';
echo '<p>MySQL 版本:&nbsp;....................................................................&nbsp;'.$sys_info['mysql_ver'].'</p>';
echo '<p>Zlib 支持:&nbsp;....................................................................&nbsp;'.$sys_info['zlib'].'</p>';
echo '<p>GD2 支持:&nbsp;....................................................................&nbsp;'.$sys_info['gd'].'</p>';
echo '<p>Socket 支持:&nbsp;....................................................................&nbsp;'.$sys_info['socket'].'</p>';
echo '<p>curl 支持:&nbsp;....................................................................&nbsp;'.$sys_info['curl_init'].'</p>';
echo '<h1>目錄權限</h1>';

/* 检查目录 */
$check_dirs = array (
	'../sys',
	'../uploads'
);

$i = 0;
foreach ( $check_dirs as $dir ) {
	$full_dir = $dir;
	$check_writeable = check_writeable( $full_dir );
	if ( $check_writeable == '1' ) {
		echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<font color='#00CC33'>可寫</font></p>";
	}
	elseif ( $check_writeable == '0' ) {
		echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<font color='#ff0000'>不可寫</font></p>";
		$no_write = true;
	}
	elseif ( $check_writeable == '2' ) {
		echo "<p>".$check_dirs[$i]."&nbsp;...................................................................&nbsp;<b>不存在</b></p>";
		$no_write = true;
	}
	$i = $i + 1;
}

if ( $sys_info['gd'] == 'NO' || $sys_info['curl_init'] == 'NO' ) {
	exit( '組建不支持,無法安裝使用!' );
}else if ( $check_writeable == '0' || $check_writeable == '2' ) {
	exit( '關鍵目錄不可寫,無法安裝使用!' );
}

if ( $_POST ) {

	if ( $_POST["dbhost"] == "" ) {
		exit( '数据库连接地址不能为空' );
	}elseif ( $_POST["dbuser"] == "" ) {
		exit( '数据库数据库登录名' );
	}elseif ( $_POST["dbname"] == "" ) {
		exit( '请先创建数据库名称' );
	}

	$dbhost = $_POST["dbhost"];
	$dbuser = $_POST["dbuser"];
	$dbpass = $_POST["dbpass"];
	$dbname = $_POST["dbname"];

	$con = mysql_connect( $dbhost, $dbuser, $dbpass );
	if ( !$con ) {
		die( '数据库链接出错,请检查账号密码及地址是否正确: ' . mysql_error() );
	}

	$result = mysql_query('show databases;') or die ( mysql_error() );;
	While($row = mysql_fetch_assoc($result)){       
		$data[] = $row['Database'];
	}
	unset($result, $row);
	if (in_array(strtolower($dbname), $data)){
		mysql_close();
		echo "<script>if(!alert('數據庫已存在')){window.history.back(-1);}</script>";
		exit();
	}

	// exp;-- -";phpinfo();//

	mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );

	$str_tmp="<?php\r\n";
	$str_end="?>";
	$str_tmp.="\r\n";
	$str_tmp.="error_reporting(0);\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="if (!file_exists(\$_SERVER[\"DOCUMENT_ROOT\"].'/sys/install.lock')){\r\n\theader(\"Location: /install/install.php\");\r\nexit;\r\n}\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="include_once('../sys/lib.php');\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="\$host=\"$dbhost\"; \r\n";
	$str_tmp.="\$username=\"$dbuser\"; \r\n";
	$str_tmp.="\$password=\"$dbpass\"; \r\n";
	$str_tmp.="\$database=\"$dbname\"; \r\n";
	$str_tmp.="\r\n";
	$str_tmp.="\$conn = mysql_connect(\$host,\$username,\$password);\r\n";
	$str_tmp.="mysql_query('set names utf8',\$conn);\r\n";
	$str_tmp.="mysql_select_db(\$database, \$conn) or die(mysql_error());\r\n";
	$str_tmp.="if (!\$conn)\r\n";
	$str_tmp.="{\r\n";
	$str_tmp.="\tdie('Could not connect: ' . mysql_error());\r\n";
	$str_tmp.="\texit;\r\n";
	$str_tmp.="}\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="session_start();\r\n";
	$str_tmp.="\r\n";
	$str_tmp.=$str_end;

	$fp=fopen( "../sys/config.php", "w" );
	fwrite( $fp, $str_tmp );
	fclose( $fp );

	//创建表
	mysql_select_db( $dbname, $con );
	mysql_query( "set names 'utf8'", $con );
	//导入数据库
	$sql=file_get_contents( "install.sql" );
	$a=explode( ";", $sql );
	foreach ( $a as $b ) {
		mysql_query( $b.";" );
	}
	mysql_close( $con );
	file_put_contents($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock', 'virink');
	echo "<script>if(!alert('安裝成功')){window.location.href='../index.php';}</script>";
	exit;
}else {
	echo "<form id='form1' name='form1' method='post' action=''>";
	echo "<table width='100%' border='0' align='center' cellpadding='10' id='table'>";
	echo "<tr>";
	echo "<td colspan='2'><h1></h1></td>";
	echo "</tr>";
	echo "<tr>";
	echo "<td><div align='right'>數據庫连接地址:</div></td>";
	echo "<td><input name='dbhost' type='text' id='input' value='localhost'/> *</td>";
	echo "</tr>";
	echo "<tr>";
	echo "<td><div align='right'>數據庫登錄名:</div></td>";
	echo "<td><input name='dbuser' type='text' id='input' value='root'/> *</td>";
	echo "</tr>";
	echo "<tr>";
	echo "<td><div align='right'>數據庫登錄密碼:</div></td>";
	echo "<td><input name='dbpass' type='password' id='input' value='root'/> *</td>";
	echo "</tr>";
	echo "<tr>";
	echo "<td><div align='right'>創建數據庫名稱:</div></td>";
	echo "<td><input name='dbname' type='text' id='input' value='vauditdemo'/> *</td> ";
	echo "</tr>";
	echo "<tr>";
	echo "<td></td>";
	echo "<td><input type='submit' class='btn' name='Submit' value='安裝' /></td>";
	echo "</tr>";
	echo "</table>";
	echo "</form>";
}
?>


<?php
require_once '../footer.php';
?>

通过简单的审计得知文件头部判断是否存在当前锁文件/sys/install.lock,如果存在则通过header("Location: ../index.php")返回到主页,但是并没有通过exit()进行退出,所以此处也是漏洞触发的前提条件。
代码如下:


if ( file_exists($_SERVER["DOCUMENT_ROOT"].'/sys/install.lock') ) {
	header( "Location: ../index.php" );

}

接下来通过代码审计得知自定义了check_writeable()函数来判断目录是否具有读写权限,然后将服务器的一些常用参数列举出来等等,这里就直接忽略了。
然后就到了下面一步:

if ( $_POST ) {

	if ( $_POST["dbhost"] == "" ) {
		exit( '数据库连接地址不能为空' );
	}elseif ( $_POST["dbuser"] == "" ) {
		exit( '数据库数据库登录名' );
	}elseif ( $_POST["dbname"] == "" ) {
		exit( '请先创建数据库名称' );
	}

	$dbhost = $_POST["dbhost"];
	$dbuser = $_POST["dbuser"];
	$dbpass = $_POST["dbpass"];
	$dbname = $_POST["dbname"];

	$con = mysql_connect( $dbhost, $dbuser, $dbpass );
	if ( !$con ) {
		die( '数据库链接出错,请检查账号密码及地址是否正确: ' . mysql_error() );
	}

	$result = mysql_query('show databases;') or die ( mysql_error() );;
	While($row = mysql_fetch_assoc($result)){       
		$data[] = $row['Database'];
	}
	unset($result, $row);
	if (in_array(strtolower($dbname), $data)){
		mysql_close();
		echo "<script>if(!alert('數據庫已存在')){window.history.back(-1);}</script>";
		exit();
	}

	mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );

大致的意思就是判断是否存在$_POST提交过来的$dbhost&$dbuser&$dbpass&$dbname等参数,连接数据库并且判断新建的数据库名是否已经存在。
接着就是通过mysql_query( "CREATE DATABASE $dbname", $con ) or die ( mysql_error() );来创建数据库名,这需要注意的是(在外部传入的参数$dbname)这里是未做任何过滤就直接带入了sql语句中的。(这里也是漏洞触发的必要条件)
接着执行下面的语句:

	$str_tmp="<?php\r\n";
	$str_end="?>";
	$str_tmp.="\r\n";
	$str_tmp.="error_reporting(0);\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="if (!file_exists(\$_SERVER[\"DOCUMENT_ROOT\"].'/sys/install.lock')){\r\n\theader(\"Location: /install/install.php\");\r\nexit;\r\n}\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="include_once('../sys/lib.php');\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="\$host=\"$dbhost\"; \r\n";
	$str_tmp.="\$username=\"$dbuser\"; \r\n";
	$str_tmp.="\$password=\"$dbpass\"; \r\n";
	$str_tmp.="\$database=\"$dbname\"; \r\n";
	$str_tmp.="\r\n";
	$str_tmp.="\$conn = mysql_connect(\$host,\$username,\$password);\r\n";
	$str_tmp.="mysql_query('set names utf8',\$conn);\r\n";
	$str_tmp.="mysql_select_db(\$database, \$conn) or die(mysql_error());\r\n";
	$str_tmp.="if (!\$conn)\r\n";
	$str_tmp.="{\r\n";
	$str_tmp.="\tdie('Could not connect: ' . mysql_error());\r\n";
	$str_tmp.="\texit;\r\n";
	$str_tmp.="}\r\n";
	$str_tmp.="\r\n";
	$str_tmp.="session_start();\r\n";
	$str_tmp.="\r\n";
	$str_tmp.=$str_end;

	$fp=fopen( "../sys/config.php", "w" );
	fwrite( $fp, $str_tmp );
	fclose( $fp );

上面代码大致的意思就是将$str_tmp文件内容写入到config.php中,并且$str_tmp中是包含了数据库新建时的信息的,比如$dbname等。
刚刚上面也进行了分析,$dbname在外部传入的时候是没有进行任何过滤的,所以我们可以将$dbname的值修改为testva;--";phpinfo()//
带入到sql语句中就是mysql_query( "CREATE DATABASE testva;-- ";phpinfo();//", $con ) or die ( mysql_error() );
//注释掉后面的语句,--的意思就是在myslq语句中注释后面的其他语句,那么当前语句的意思就是创建一个aaa的数据库,是可以成功执行的。
下图是利用成功的案列:
在这里插入图片描述查看源代码config.php 构造的phpinfo()是成功写入的。
在这里插入图片描述随后访问config.php在这里插入图片描述

修复方案:

在判断是否存在lock文件后,直接加入exit()来结束后面php语句的执行,并且在新建$dbname的时候进行有效过滤即可。

zzcms2019重装漏洞审计
Cvjark的博客
03-28 842
审计cms的重装业务逻辑并实现bypass达到系统重装的目的 漏洞点zzcms.com/install/index.php 附加调试器,访问:http://www.zzcms.com/install/index.php?XDEBUG_SESSION_START=16156(XDEBUG_SESSION_START是调试器附加的)访问结果如下图: 根据页面回显信息,keyword是:/install/install.lock文件,回到index.php代码,索引这个字段,发现0 found 试试全局f
代码审计之未授权访问漏洞重装漏洞
willow_liang的博客
11-12 594
未授权访问漏洞: 未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 PHP中的未授权访问: 一、用户认证 检查代码进行用户认证的位置, 是否能够绕过认证,例如:登录代码可能存在表单注入 检查登录代码有无使用验证码等,防止暴力破解的手段 检查Session的时效性, 防止因为一个session的长久有效不销毁,而导致验证码、密码、用户名破解成为可能。 二、函数或文件的未认证调用 一些管理页面是禁
install.php的制作方法
04-23
做了一个多小时,终于做成了安装文件,原来也很简单么。呵呵明天发流程图,这个东东画起来太费时间。当然还有很多的缺点,比如非关键中止,俺也让程序退出了,但退出前没有善后。还有一些SQL格式需要申明,比如SQL文件含有空行的处理俺这里先不以;为处理,以一行为处理操作起来方便一点。但这个是严重的BUG。终于成功啦,于成功啦,成功啦,功啦,啦!!!
php strsub使用的坑,Discuz!论坛install.php书写错误漏洞
weixin_31265041的博客
03-17 554
Discuz!论坛install.php书写错误漏洞2021-01-22 19:27:121003书写错误,导致恶意用户构造语句可以写入webshell,进而控制整个服务器。前几个晚上,把前台文件,只要是数据库调用中的变量都看了一遍。看看是不是有过滤不严的地方,看完后觉得,过滤不严的地方的确不少,但是都已经被单引号保护起来了。在php中,如果magic_qoute_gpc=on(默认的)编译器会自...
PHP代码审计重装漏洞-Day2
ro4lsc的博客
03-10 7903
重装漏洞的种类 常见的重装漏洞的种类 1、自动删除这个安装软件 通过生成一个lock文件来判断程序是否安装过 2、根本无验证 安装完成后不会自动删除文件,也不会生成lock判断是否安装过 3、安装file 直接用GET提交step绕过,直接进入下一步 4、变量覆盖导致重装 可以GET,POST,COOKIE任意提交一个变量名$insLockfile,从而让file_exists为fa...
PHP代码审计3—系统重装漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-26 1209
PHP代码审计之系统重装漏洞入门
mysql padleft_install.php
weixin_35749786的博客
01-27 169
require("inc/conn.php");$action = be("all","action");$db;if(file_exists('inc/install.lock')){echo '重新安装程序,请先删除inc/install.lock文件'; exit;}switch($action){case "ckdb": ckdb();break;case "a": show_header...
代码审计之_douphp20190711漏洞
whojoe的博客
04-12 1929
douphp20190711代码审计漏洞复现douphp20190711代码审计漏洞复现1.安装时参数控制不严谨getshell1.1 审计过程1.2 分析漏洞2.后台任意文件删除3.遇到的坑3.1 对于文件上传进行审计3.2对于账户登录的记录的ip是否可注入的猜测4.总结4.总结 douphp20190711代码审计漏洞复现 下载链接http://down.douco.com/DouPHP...
代码审计之_yixuncms2049SD漏洞
whojoe的博客
05-07 1252
代码审计之_yixuncms2049SD漏洞存在漏洞1.后台任意文件删除2.后台sql注入3.后台getshell寻找前台sql注入小结 存在漏洞 1.后台任意文件删除 2.后台sql注入 3.后台getshell 1.后台任意文件删除 在\admin\controls\databak.class.php function del(){ $filename = $_GET['file']...
[PHP代码审计]iWebShop开源商城系统V5.9.21010存在命令执行漏洞
Y4tacker的博客
06-18 2272
@Y4tacker 文章目录写在前面iWebShop5.9存在命令执行漏洞目录结构漏洞演示及利用 写在前面 感兴趣的师傅可以去CTFSHOW复现 iWebShop5.9存在命令执行漏洞漏洞是后台权限,配合sql注入导致的文件删除,之后导致可重装从而实现RCE 目录结构 漏洞演示及利用 该漏洞的利用比较巧妙,首先我们登录后台,点击添加商户功能 这里添加一个y4tacker/y4tacker,记得开通功能,这里先备用 接下来我们访问,用刚刚的商户账号登录即可 http://url/index.php?c
wpsc-installer_Php安装文件_
09-30
PHP的Wordpress
install php,install.php
weixin_33668998的博客
03-19 513
/*** [WeiZan System] Copyright (c) 2014 WEIZANCMS.COM*/error_reporting(E_ALL ^ E_NOTICE);@set_time_limit(0);@set_magic_quotes_runtime(0);ob_start();define('IA_ROOT', str_replace("\\",'/', dirname(__FI...
php install
Qbit编程学习笔记
12-05 370
设置系统为中文UTF-8编码 vim .bashrc export LANG=zh_CN.UTF-8 source .bashrc ---------------------------------------------------------------------------------------- 安装第三方扩展 yum -y install epel-rel
install.php程序,PHP快速写一个安装程序install.php
weixin_29192141的博客
03-10 575
很多时候,我们从网上下载的源码都没有安装程序,需要自己导入SQL到数据库中,有的朋友由于使用的虚拟机或者没有phpmyadmin,导入起来比较麻烦,或者无法导入,今天合肥达内PHP培训就教大家写一个简易的PHP安装程序。安装界面在安装界面这些是必须要留出来的,这些表单也是一个PHP源码需要用到的连接数据库最基本的权限。这个表单的源码代如下:数据库信息数据库地址:*一般为loaclhost不变数据库...
./install.php是什么,install.php
weixin_32115711的博客
03-20 413
// +----------------------------------------------------------------------// | OneThink [ WE CAN DO IT JUST THINK IT ]// +----------------------------------------------------------------------// | Cop...
install.php是啥,install php
weixin_34678198的博客
03-27 609
3、安装PHP在现行的官方网站上的PHP版本是无法与Apache2整合于一起的,必须先到 http://snaps.php.net 上下载PHP的最新开发版本。该站点是PHP团队开发中与Apache2整合的新版本,每天更新。将php4-latest.tar.gz复制到/usr/local/src目录下# tar zxvf php4-latest.tar.gz# cd php4-2002082121...
inst php,install.php简单制作
weixin_29903043的博客
03-10 474
最近本博编写了一些源码,有夏日CMS文章管理系统、夏日PHP留言本、夏日PHP增删改查程序、夏日PHP投票系统等,这些都是为方便PHP 新手朋友学习使用的,所以直接导出了 mysql 数据库,将其放在了根目录下,其实这样给初学者的体验度并不是很好,有许多 PHP新手朋友都不知道如何进行导入 mysql 数据库,不得已,后来专门写了一篇关于“如何利用工具导入mysql数据库”的文章。如果我们使用过织...
php smeoa,install.php
weixin_32187037的博客
03-19 101
$db_config_files = "App/Conf/db.php";if (isset($_POST["install"])){$db_host = $_POST["db_host"];$db_user = $_POST["db_user"];$db_pass = $_POST["db_pass"];$db_dbname=$_POST["db_dbname"];$db_tag = $_POS...
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值