代码审计:AKun Wallpaper实战分析

admin 2022年1月16日13:26:40评论146 views字数 2647阅读8分49秒阅读模式

0x00 前言

萌新博主前一段时间一不小心发现了一个漏洞并获取了一个CVE编号,高兴了好一阵子。于是本萌新就想学习一下代码审计,挖一点CVE来玩一玩。最终选择了《代码审计——企业级Web代码安全架构》作为学习资料。学习一阵子后准备进行实战分析,于是就想起了自己多年前写的一个小破站。该网站功能较少,采用函数式编程,代码嵌套少,漏洞较多,十分适合代码审计入门。该网站的功能模块如下图所示:

代码审计:AKun Wallpaper实战分析

0x01 网站部署

首先在mysql中创建一个名为searchimages的数据库

mysql -uroot -proot #此处实例账号和密码都为rootcreate database searchimages #创建数据库

然后将网站根目录中的searchimages.sql导入该数据库中,网站后台的默认账号和密码是admin:admin

use searchimagessource D:phpstudywwwsearchimages.sql #导入数据库

然后修改文件/configs/config.php中数据库账号和密码即可

代码审计:AKun Wallpaper实战分析

0x02 漏洞分析

首先通过审计工具fortify自动审计,这个工具可以扫描出可能存在的漏洞代码,然后再进行人工分析。扫描后发现存在三十多个可能存在xss漏洞的代码。

代码审计:AKun Wallpaper实战分析

如下图中第一个xss漏洞在jquery.3.3.1.js中,这个文件是调用的js库,暂时不用管。我们看到editAdmi.php的29行,这里直接将$username$enail的变量输出来。我们看到窗口的左下方有数据流走向分析,点击中间Diagram按钮后会出现数据流的走向的图示。这可以直观的表示出数据从哪里来,中间经过了哪里,这样可以使我们更加快速的分析出代码中是否存在漏洞。

代码审计:AKun Wallpaper实战分析

通过分析发现$username$email直接从数据库中取出,未经处理直接输出在了页面上。这极有可能存在一个xss漏洞,接下来可以通过利用该漏洞来确认该处是否存在漏洞。

代码审计:AKun Wallpaper实战分析

0x03 漏洞复现

下面我们来复现一下这个xss漏洞。登陆网站后台,在添加管理员页面的邮箱栏填写"/><script>alert(1)</script>//,账号和密码任意,然后点击添加管理员按钮。

代码审计:AKun Wallpaper实战分析

点击刚刚添加账号后面的修改按钮就跳转到了editAdmin.php页面,然后就发现成功的弹出了一个提示框,这说明该处存在一个漏洞。

代码审计:AKun Wallpaper实战分析

代码审计:AKun Wallpaper实战分析

0x04 漏洞修复

书中提供了两种解决建议,分别为:特殊字符HTML实体转码,标签事件属性黑名单。黑名单的绕过方式多种多样,防范难度非常高,我们这里就采用特殊字符实体转码的方式,当然最好同时采用两种方法。

  • 特殊字符HTML实体转码主要有两个函数: htmlentities()htmlspecialchars(),两者都是将html特殊字符转码,其区别是htmlspecialchars()只格式化& ' " < 和 > 这几个特殊符号,htmlspecialchars()会转换除了空格之外的特殊字符。

要注意的是使用htmlentities()如果不指定编码,遇到中文则会乱码。两者默认都不会转义单引号 ',需要设置第二个参数来转义单引号。第2个参数取值有3种,分别如下:ENT_COMPAT(默认值):只转换双引号。ENT_QUOTES:两种引号都转换。ENT_NOQUOTES:两种引号都不转换。

如果不转义单引号,在特殊的情况下是会存在xss漏洞的,所以我们可以自定义一个同时对特殊字符和单引号转义的函数。该网站的/lib/common.func.php文件被所有网页包含,可以在该页面中定义全局函数。

function my_htmlspecialchars($str) {    return htmlspecialchars($str, ENT_QUOTES);}

然后在每个数据输出点调用该函数即可,如下图所示。

代码审计:AKun Wallpaper实战分析

然后我们刷新editAdmin.php页面,看到没有再次弹出提示框,而是在邮件输入框正常显示了全部的js代码。我们可以采用同样的方法可以修复其他xss漏洞。

代码审计:AKun Wallpaper实战分析

0x05 漏洞分析

接下来看到editImage.php的32行, $imagePath也是从数据库中直接取出,并且未处理直接输出在页面上。我们以同样的方法复现该漏洞,但是没有成功!所以可能是该数据再写入数据库前已经处理了。

代码审计:AKun Wallpaper实战分析

接下来我们分析一下$imagePath是如何进入数据库的,通过该变量名称得知该数据即图片的地址。我们看到douploadImages.php的72行,通过分析得出putImage函数是将图片的名称和地址写入数据库中。而图片的地址是通过时间戳生成唯一id,然后通过md5加密得到,所以这个数据源不可能存在恶意数据。所以通过分析得到该处不存在xss漏洞。

代码审计:AKun Wallpaper实战分析

接下来分析editImages.php的36行,变量$imageName是图片的名字,我们刚刚看到这个数据在输入数据库的时候没有处理,所以该处在xss漏洞,需要调用特殊字符HTML实体转码函数来处理该数据。我们可以用同样的方法修复其他xss漏洞。

代码审计:AKun Wallpaper实战分析

作者:rpsate文章来源:https://blog.csdn.net/rpsate/article/details/122354690?spm=1001.2014.3001.5501

代码审计:AKun Wallpaper实战分析

另外关注雾晓安全公众号后台回复“漏洞赏金猎人”可免费获取SRC漏洞赏金猎人教程,后台回复“2111”获取最新Nessus插件包20220111

网络安全攻防WiKi

ID:99739843

成立于2019年,高质量网络安全攻防星球社区,致力于红蓝对抗攻防安全,汇聚670+网络安全行业研究人员,每日分享行业最新资讯且交流解答各类技术问题,星球中已发布3900+攻防资源教程,针对网络安全成员的普遍水平,并为星友提供了教程工具POC、EXP等等,循序渐进的方式引导加深技术提高以及岗位内推等等。

代码审计:AKun Wallpaper实战分析

推荐阅读 

// 1

最新Nessus插件包20220111

// 2

最新BurpSuite2021.12.1破解

// 3

内网辅助渗透工具

// 4

漏洞PoC框架的图形版-支持Burp插件

免责声明

由于传播、利用本公众号雾晓安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号雾晓安全及作者不为此承担任何责任,一旦造成后果请自行承担!。如有侵权烦请告知,我们会立即删除并致歉。谢谢!

点赞”、转发”、“在看

原文始发于微信公众号(雾晓安全):代码审计:AKun Wallpaper实战分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月16日13:26:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代码审计:AKun Wallpaper实战分析https://cn-sec.com/archives/739275.html

发表评论

匿名网友 填写信息