从SQL语句控制到任意文件读取漏洞挖掘思路<\/h1>

环境搭建<\/h2>

下载ZZCMS源码：https:\/\/www.zzcms.net\/<\/li>
使用PHPStudy一键搭建环境<\/li>

创建数据库并导入提供的SQL文件<\/li> <\/ol>

漏洞点寻找<\/h2>

使用Seay源代码审计系统进行初步审计：<\/p>

基于sink点的正则匹配（误报较多）<\/li>

重点寻找任意文件读取的漏洞点<\/li> <\/ul>

漏洞分析<\/h2>

文件读取代码段<\/h3>

关键代码片段：<\/p>

$fp =<\/span> @<\/span>fopen<\/span>("..\/"<\/span>.<\/span>$skin.<\/span>"\/"<\/span>.<\/span>$template,'r'<\/span>);
<\/span><\/span><\/code><\/pre>漏洞条件：<\/p>

$skin<\/code>参数可控<\/li>
需要能够实现目录穿越（..\/<\/code>）<\/li>
<\/ol>
参数溯源<\/h3>

$skin<\/code>来源于数据库查询结果：<\/li>
<\/ol>
$skin =<\/span> $row['skin'<\/span>];
<\/span><\/span><\/code><\/pre>
$row<\/code>数据来自SQL查询，需要找到控制查询结果的方法<\/li>
<\/ol>
SQL控制点分析<\/h3>
寻找包含skin<\/code>字段的SQL语句：<\/p>

发现有两处相关SQL语句<\/li>
通过全局搜索找到可控制的表<\/li>
<\/ol>
关键控制点：<\/p>

存在可控制的参数能够更新数据库中的skin<\/code>字段<\/li>
更新后通过查询将恶意构造的skin<\/code>值带入文件读取操作<\/li>
<\/ul>
漏洞利用步骤<\/h2>


访问特定文件并传入可控参数：<\/p>

参数用于更新数据库中的skin<\/code>字段<\/li>
<\/ul>
<\/li>

观察SQL语句执行：<\/p>

确认没有对..\/<\/code>等目录穿越字符进行过滤<\/li>
<\/ul>
<\/li>

验证数据库更新：<\/p>

检查数据库确认skin<\/code>字段已被修改为恶意值<\/li>
<\/ul>
<\/li>

触发文件读取：<\/p>

通过正常业务逻辑读取被修改的skin<\/code>值<\/li>
构造类似..\/..\/..\/etc\/passwd<\/code>的路径实现任意文件读取<\/li>
<\/ul>
<\/li>
<\/ol>
技术要点总结<\/h2>


输入控制链<\/strong>：<\/p>

用户输入 → 数据库更新 → 查询结果 → 文件操作参数<\/li>
<\/ul>
<\/li>

关键绕过点<\/strong>：<\/p>

缺乏对数据库更新内容的严格过滤<\/li>
文件操作时直接使用未净化的数据库值<\/li>
<\/ul>
<\/li>

漏洞利用条件<\/strong>：<\/p>

需要有权限更新相关数据库字段<\/li>
系统使用数据库值作为文件路径的一部分<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

对所有数据库更新操作进行严格过滤<\/li>
文件操作时：

限制路径范围（使用白名单）<\/li>
规范化路径并检查是否越界<\/li>
<\/ul>
<\/li>
实施权限最小化原则<\/li>
对从数据库获取用于文件操作的参数进行二次验证<\/li>
<\/ol>