网关设备白盒审计漏洞分析与利用教学文档<\/h1>

1. XSS漏洞分析<\/h2>

1.1 密码修改处XSS漏洞<\/h3>

漏洞位置<\/strong>: \/modify_passwd.php<\/code><\/p>

漏洞分析<\/strong>:<\/p>

代码直接使用$_REQUEST['user']<\/code>进行拼接，未做任何过滤<\/li> 前端虽然限制了用户名输入框，但可通过GET\/POST直接提交参数<\/li> 通过闭合value属性实现XSS注入<\/li> <\/ul> 利用方法<\/strong>:<\/p> https:\/\/ip:port\/modify_passwd.php?user=";<script>alert(1)<\/script> <\/code><\/pre> 修复建议<\/strong>:<\/p> 对用户输入进行HTML实体编码<\/li> 使用htmlspecialchars()<\/code>函数过滤输出<\/li> <\/ul> 1.2 USB目录创建处XSS漏洞<\/h3> 漏洞位置<\/strong>: \/mkdir_usb.php<\/code><\/p> 漏洞分析<\/strong>:<\/p> 直接接收path<\/code>参数并拼接输出<\/li> 无任何过滤措施<\/li> 可通过闭合HTML标签注入恶意脚本<\/li> <\/ul> 利用方法<\/strong>:<\/p> https:\/\/ip:port\/mkdir_usb.php?path="><script>alert(1)<\/script> <\/code><\/pre> 修复建议<\/strong>:<\/p> 对所有用户可控的输出进行编码处理<\/li> 实现严格的输入验证<\/li> <\/ul> 2. RCE漏洞分析<\/h2> 2.1 VPN自定义配置处RCE<\/h3> 漏洞位置<\/strong>: \/vpn\/list_vpn_web_custom.php<\/code><\/p> 漏洞分析<\/strong>:<\/p> 存在exec<\/code>函数调用<\/li> 通过config_mod<\/code>函数执行命令<\/li> 需要Nradius<\/code>参数为true才能进入执行分支<\/li> <\/ul> 利用方法<\/strong>:<\/p> https:\/\/ip:port\/vpn\/list_vpn_web_custom.php?Nradius_submit=1&template=`echo+-e+'<?php phpinfo();?>'>\/www\/tmp\/info.php` <\/code><\/pre> 修复建议<\/strong>:<\/p> 避免直接执行用户可控的命令<\/li> 使用白名单限制可执行的命令<\/li> 对用户输入进行严格过滤<\/li> <\/ul> 2.2 样式配置处RCE<\/h3> 漏洞位置<\/strong>: \/xxx\/xxx_style.php<\/code><\/p> 漏洞分析<\/strong>:<\/p> 同样调用config_mod<\/code>函数<\/li> 通过mySubmit<\/code>参数控制执行流程<\/li> 直接拼接用户输入执行命令<\/li> <\/ul> 利用方法<\/strong>:<\/p> https:\/\/ip:port\/xxx\/xxx_style.php?mySubmit=1&template=`echo+-e+'<?=phpinfo();?>'>\/www\/tmp\/info1.php` <\/code><\/pre> 修复建议<\/strong>:<\/p> 移除不必要的命令执行功能<\/li> 实现最小权限原则<\/li> 使用安全的API替代命令执行<\/li> <\/ul> 3. 审计方法论<\/h2> 3.1 代码审计技巧<\/h3> 全局搜索关键函数<\/strong>:<\/p> $_GET<\/code>, $_POST<\/code>, $_REQUEST<\/code><\/li> exec<\/code>, system<\/code>, passthru<\/code>, shell_exec<\/code><\/li> include<\/code>, require<\/code>, file_get_contents<\/code><\/li> <\/ul> <\/li> XSS审计要点<\/strong>:<\/p> 查找未过滤的输出点<\/li> 检查HTML属性拼接处<\/li> 验证所有用户可控的输出<\/li> <\/ul> <\/li> RCE审计要点<\/strong>:<\/p> 识别命令执行函数调用<\/li> 跟踪用户输入流向<\/li> 分析执行条件分支<\/li> <\/ul> <\/li> <\/ol> 3.2 漏洞利用流程<\/h3> 信息收集<\/strong>:<\/p> 分析URL结构<\/li> 识别关键参数<\/li> 理解业务逻辑<\/li> <\/ul> <\/li> 漏洞验证<\/strong>:<\/p> 构造简单payload测试<\/li> 确认执行环境<\/li> 评估利用难度<\/li> <\/ul> <\/li> 深度利用<\/strong>:<\/p> 编写webshell<\/li> 提权尝试<\/li> 持久化控制<\/li> <\/ul> <\/li> <\/ol> 4. 防御措施<\/h2> 4.1 通用防御策略<\/h3> 输入验证<\/strong>:<\/p> 白名单验证<\/li> 数据类型检查<\/li> 长度限制<\/li> <\/ul> <\/li> 输出编码<\/strong>:<\/p> HTML实体编码<\/li> URL编码<\/li> JavaScript编码<\/li> <\/ul> <\/li> 安全配置<\/strong>:<\/p> 禁用危险函数<\/li> 最小权限原则<\/li> 定期更新补丁<\/li> <\/ul> <\/li> <\/ol> 4.2 具体修复方案<\/h3> XSS防御<\/strong>:<\/li> <\/ol> \/\/ 错误示例 <\/span><\/span><\/span><\/span>echo<\/span> "<input value='"<\/span>.<\/span>$_GET['user'<\/span>].<\/span>"'>"<\/span>; <\/span><\/span> <\/span><\/span>\/\/ 正确示例 <\/span><\/span><\/span><\/span>echo<\/span> "<input value='"<\/span>.<\/span>htmlspecialchars<\/span>($_GET['user'<\/span>], ENT_QUOTES<\/span>).<\/span>"'>"<\/span>; <\/span><\/span><\/code><\/pre> RCE防御<\/strong>:<\/li> <\/ol> \/\/ 错误示例 <\/span><\/span><\/span><\/span>exec<\/span>($_GET['cmd'<\/span>]); <\/span><\/span> <\/span><\/span>\/\/ 正确示例 <\/span><\/span><\/span><\/span>$allowed =<\/span> ['ls'<\/span>, 'pwd'<\/span>]; <\/span><\/span>if<\/span>(in_array<\/span>($_GET['cmd'<\/span>], $allowed)) { <\/span><\/span> exec<\/span>(escapeshellcmd<\/span>($_GET['cmd'<\/span>])); <\/span><\/span>} <\/span><\/span><\/code><\/pre>5. 总结<\/h2> 本文档分析了网关设备中存在的多个高危漏洞，包括XSS和RCE漏洞，提供了详细的漏洞分析、利用方法和修复建议。安全开发人员应引以为戒，在开发过程中严格遵循安全编码规范，避免类似漏洞的出现。<\/p>