某CRM系统PHP代码审计报告<\/h1>

系统架构分析<\/h2>
该系统采用MVC（Model-View-Controller）架构设计，主要目录结构如下：<\/p>

核心架构组件<\/h3>

modules\/<\/strong>: 存放业务模块，对应MVC中的Controller层<\/li>

database\/、data\/、dataCache\/<\/strong>: 数据库和数据缓存相关逻辑，属于Model层<\/li> <\/ul>
功能模块<\/h3>

crmapi\/<\/strong>: API接口目录，用于前后端交互和第三方系统对接<\/li>
adodb\/、mssql\/、msAccess\/、sql\/、sqlparser\/<\/strong>: 数据库支持相关，使用ADOdb作为数据库抽象层<\/li>
cron\/<\/strong>: 定时任务目录，用于执行自动化脚本<\/li>
logs\/、log4php\/、log4php.debug\/<\/strong>: 日志管理系统，使用log4php<\/li>
packages\/、expansion\/、Smarty\/<\/strong>: 第三方插件和系统扩展，使用Smarty模板引擎<\/li> <\/ul>
前端相关<\/h3>

jsCalendar\/、MultiDatesPicker\/、My97DatePicker\/<\/strong>: 前端控件<\/li>
kcfinder\/<\/strong>: 文件上传管理工具<\/li> <\/ul>
安全与配置<\/h3>

360safe\/<\/strong>: 360安全防护集成<\/li>
config.db.php、config.inc.php<\/strong>: 系统配置文件，包含敏感信息<\/li> <\/ul>
第三方集成<\/h3>

CallCenter\/<\/strong>: 呼叫中心系统集成<\/li>
wechatpay\/、wechatSession\/、WeiXinApp\/<\/strong>: 微信支付和微信登录功能<\/li> <\/ul>
漏洞分析<\/h2>
1. SSRF漏洞<\/h3>
漏洞位置<\/strong>: marketing\/index.php<\/code><\/p>
利用方式<\/strong>:<\/p>
xxx\/marketing\/index.php?module=Articles&action=copyLinkToContent&userid=11&logincrm_userid=11&publicaccount=12&url=http:\/\/xxx <\/code><\/pre> 漏洞细节<\/strong>:<\/p> WxCrawler<\/code>类中存在file_get_content<\/code>调用，且URL参数可控<\/li> 由于只有return没有输出函数，只能用于SSRF攻击<\/li> 读取文件内容时会触发if检测，强制退出进程<\/li> 需要找到new WxArticles<\/code>的调用点并通过copy<\/code>方法触发<\/li> <\/ul> 2. SQL注入漏洞<\/h3> 漏洞位置<\/strong>: WxOrder<\/code>类的getOrderList<\/code>方法<\/p> 漏洞细节<\/strong>:<\/p> crm_user_id<\/code>参数直接拼接到SQL语句中<\/li> 该目录未包含360safe中的过滤代码<\/li> 可构造时间盲注payload，如延迟4秒的语法<\/li> <\/ul> 3. 任意文件上传漏洞<\/h3> 利用链<\/strong>:<\/p> 通过index.php<\/code>结尾的include<\/code>函数，控制module<\/code>参数请求Upload\/uploadfile.php<\/code><\/li> 需要绕过两个条件判断： if(empty($openid))<\/code><\/li> if(empty($_REQUEST['usid']))<\/code><\/li> <\/ul> <\/li> 文件上传逻辑在WeiXinApp<\/code>的uploadfile<\/code>中<\/li> 通过request<\/code>参数未签名时调用upload_save_file<\/code>方法<\/li> <\/ol> 漏洞细节<\/strong>:<\/p> 文件编码转换和路径拼接无后缀过滤<\/li> 存在move_uploaded_file<\/code>调用但目录权限问题导致失败<\/li> 可利用php:\/\/input<\/code>伪协议：通过file_info<\/code>传入{name:"1.php"}<\/code>的JSON格式<\/li> php:\/\/input<\/code>接收木马内容<\/li> <\/ul> <\/li> <\/ul> 4. 任意文件读取漏洞<\/h3> 漏洞细节<\/strong>:<\/p> 直接使用file_get_contents<\/code>读取文件内容<\/li> 可构造绝对路径直接读取系统文件<\/li> <\/ul> 审计方法论<\/h2> 架构分析<\/strong>：首先分析系统目录结构和架构设计<\/li> 路由追踪<\/strong>：分析请求如何路由到具体模块和方法<\/li> 敏感函数追踪<\/strong>：查找file_get_contents<\/code>、include<\/code>、SQL拼接等危险函数<\/li> 参数可控性分析<\/strong>：检查用户输入是否未经过滤直接使用<\/li> 权限与条件绕过<\/strong>：分析条件判断是否可绕过<\/li> 伪协议利用<\/strong>：检查php:\/\/<\/code>等伪协议的使用情况<\/li> <\/ol> 防御建议<\/h2> 输入验证<\/strong>：对所有用户输入进行严格过滤<\/li> 参数化查询<\/strong>：使用预处理语句防止SQL注入<\/li> 文件操作限制<\/strong>：限制文件操作目录<\/li> 验证文件后缀和内容<\/li> <\/ul> <\/li> URL访问控制<\/strong>：限制内部服务访问<\/li> 使用白名单机制<\/li> <\/ul> <\/li> 权限控制<\/strong>：严格的文件系统权限<\/li> 最小权限原则<\/li> <\/ul> <\/li> 安全配置<\/strong>：禁用危险PHP函数<\/li> 限制伪协议使用<\/li> <\/ul> <\/li> <\/ol> 通过全面审计该CRM系统，发现了多处高危漏洞，这些漏洞均可被利用进行服务器入侵和数据泄露。建议开发者按照防御建议进行全面修复。<\/p>

某CRM系统PHP代码审计报告<\/h1>

系统架构分析<\/h2> 该系统采用MVC（Model-View-Controller）架构设计，主要目录结构如下：<\/p>

漏洞分析<\/h2>

系统架构分析<\/h2>
该系统采用MVC（Model-View-Controller）架构设计，主要目录结构如下：<\/p>