BlueCMS v1.6 sp1 代码审计实战教学文档<\/h1>

一、环境准备<\/h2>

目标系统<\/strong>: BlueCMS v1.6 sp1<\/li>

环境配置<\/strong>:

phpstudy<\/li>
PHP 5.4.45<\/li>
Apache<\/li>
MySQL<\/li>
操作系统: Windows 7 64位专业版<\/li> <\/ul> <\/li> <\/ul>
二、代码审计方法论<\/h2>
1. 审计方法选择<\/h3>

数据流追踪法<\/strong>: 关注"输入"、"输出"和"数据流"三个关键点<\/li>
危险函数回溯法<\/strong>: 查找危险函数并回溯输入源<\/li>
功能点审计法<\/strong>: 按功能模块进行审计<\/li>
通读全文法<\/strong>: 全面了解系统架构<\/li> <\/ul>
2. 推荐新手审计流程<\/h3>

DVWA<\/li>
BlueCMS<\/li>
其他小众CMS<\/li>
框架级审计<\/li> <\/ol>
三、审计实战步骤<\/h2>
1. 目录结构分析<\/h3>

admin\/<\/strong>: 管理员相关操作<\/li>
include\/<\/strong>: 常用函数库<\/li>
根目录文件<\/strong>: 主要业务逻辑文件<\/li> <\/ul>
2. 核心审计流程<\/h3>

浏览网站目录结构<\/li>
查看主页index.php及其引用文件<\/li>
追踪用户输入点<\/li>
分析数据处理流程<\/li>
检查过滤机制<\/li> <\/ol>
3. 输入点追踪技巧<\/h3>

使用正则匹配查找用户可控变量<\/li>
关注$_GET<\/code>、$_POST<\/code>、$_REQUEST<\/code>、$_COOKIE<\/code>、$_SERVER<\/code><\/li>
特别注意未过滤或过滤不完善的输入点<\/li> <\/ul> 四、漏洞挖掘与分析<\/h2> 1. ad_js.php SQL注入漏洞<\/h3> 漏洞位置<\/strong>: 根目录下ad_js.php文件<\/p> 漏洞分析<\/strong>:<\/p> 存在int型SQL注入<\/li> 过滤机制仅针对string型注入无效<\/li> 注入点可构造union select语句<\/li> <\/ul> 验证方法<\/strong>:<\/p> union<\/span> select<\/span> 1<\/span>,2<\/span>,3<\/span>,4<\/span>,5<\/span>,6<\/span>,7<\/span> <\/span><\/span><\/code><\/pre>2. 文件读取漏洞<\/h3> 漏洞位置<\/strong>: 用户登录操作中的$from<\/code>变量<\/p> 漏洞分析<\/strong>:<\/p> $from<\/code>变量可控且经过base64解码<\/li> 通过showmsg<\/code>函数将内容渲染到前端<\/li> 可读取网站根目录下其他文件<\/li> <\/ul> 利用方法<\/strong>:<\/p> 构造from<\/code>参数为base64编码的目标文件路径<\/li> 发送请求后在前端获取文件内容<\/li> <\/ol> 限制<\/strong>:<\/p> 受session权限限制，部分文件无法读取<\/li> <\/ul> 3. 反射型XSS漏洞<\/h3> 漏洞位置<\/strong>: 注册页面(user.php?act=reg)<\/p> 漏洞分析<\/strong>:<\/p> $from<\/code>变量在注册操作时被渲染到浏览器<\/li> 仅使用addslashes<\/code>过滤，对XSS防护不足<\/li> 需要同时满足两个条件才能触发: 访问user.php时提交恶意请求<\/li> 同时访问注册页面<\/li> <\/ul> <\/li> <\/ul> 利用方法<\/strong>:<\/p> <script<\/span>>alert<\/span>(1<\/span>)<\/script<\/span>> <\/span><\/span><\/code><\/pre>4. 存储型XSS漏洞<\/h3> 漏洞位置<\/strong>: 用户资料编辑功能<\/p> 漏洞分析<\/strong>:<\/p> email等字段虽有正则过滤但后台未严格过滤<\/li> 恶意代码可存储到数据库并在显示时执行<\/li> <\/ul> 利用方法<\/strong>:<\/p> 在email字段插入:<\/li> <\/ol> <script<\/span>>alert<\/span>(1<\/span>)<\/script<\/span>> <\/span><\/span><\/code><\/pre> 或在msn字段插入:<\/li> <\/ol> "> <\/span><\/span><\/code><\/pre>5. IP伪造与注入漏洞<\/h3> 漏洞位置<\/strong>: common.fun.php中的getip()<\/code>函数<\/p> 漏洞分析<\/strong>:<\/p> 可伪造HTTP头(X-Forwarded-For等)控制IP值<\/li> IP值未过滤直接用于SQL语句导致注入<\/li> <\/ul> 利用方法<\/strong>:<\/p> 1<\/span>','<\/span>1<\/span>'),('','<\/span>6<\/span>','<\/span>2<\/span>','<\/span>1<\/span>','<\/span>6<\/span>',(select concat(admin_name,'<\/span>:',pwd) from blue_admin),'<\/span>1<\/span>','<\/span>1<\/span> <\/span><\/span><\/code><\/pre>五、过滤机制分析<\/h2> 1. 主要过滤函数<\/h3> addslashes<\/code>: 对特殊字符进行转义<\/li> inval()<\/code>: 获取变量的整数值(白名单思想)<\/li> <\/ul> 2. 过滤机制缺陷<\/h3> 仅过滤了$_GET<\/code>、$_POST<\/code>、$_REQUEST<\/code>、$_COOKIE<\/code><\/li> 遗漏了$_SERVER<\/code>(导致IP伪造漏洞)<\/li> 对int型注入防护不足<\/li> XSS过滤仅使用转义，防护不全面<\/li> <\/ol> 六、审计技巧总结<\/h2> 保持清晰的审计记录<\/strong>:<\/p> 记录已审计文件<\/li> 标记可疑点<\/li> 跟踪数据流路径<\/li> <\/ul> <\/li> 理解业务逻辑<\/strong>:<\/p> 结合页面操作分析代码<\/li> 构建情景图帮助理解<\/li> <\/ul> <\/li> 处理未知函数<\/strong>:<\/p> 通过搜索引擎了解函数功能<\/li> 先掌握基本功能，不必过度深入<\/li> <\/ul> <\/li> 组合漏洞利用<\/strong>:<\/p> 考虑漏洞间的关联性<\/li> 如DOM XSS可能绕过服务端过滤<\/li> <\/ul> <\/li> <\/ol> 七、新手建议<\/h2> 从简单CMS开始，逐步提升难度<\/li> 选择适合自己的审计方法<\/li> 遇到不懂的代码坚持研究<\/li> 做好笔记和标记<\/li> 保持耐心和细心<\/li> 多实践，积累经验<\/li> <\/ol> 八、参考资源<\/h2> BlueCMS v1.6 sp1 SQL注入分析<\/a><\/li> 《代码审计:企业级web安全》<\/li> <\/ol> 通过本实战案例，新手可以掌握基本的代码审计流程和方法，逐步培养安全审计思维和能力。<\/p>