产品安全测试实战教学文档<\/h1>

前言<\/h2>
本文记录了一次完整的产品安全测试过程，涵盖了从组件漏洞排查到多种WEB漏洞发现的实战经验。测试目标是基于ThinkPHP 3和PHP 5.4构建的运维管理系统。<\/p>

一、组件漏洞排查<\/h2>

常用漏洞查询平台<\/h3>

Snyk.io<\/strong>：https:\/\/snyk.io\/vuln\/search?type=any&q=fastjson<\/li>
CVE Details<\/strong>：https:\/\/www.cvedetails.com\/google-search-results.php?q=thinkphp<\/li>
Seebug<\/strong>：https:\/\/www.seebug.org\/search\/?keywords=thinkphp<\/li>

搜索引擎技巧<\/strong>：site:www.cnvd.org.cn thinkphp<\/code><\/li> <\/ol> 目标组件分析<\/h3> ThinkPHP 3<\/strong>：<\/p> 未明确子版本，已知TP<=3.2.3存在注入漏洞<\/li> 版本确认方法：通过路由报错信息<\/li> 有源码时全局搜索THINK_VERSION<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> PHP 5.4<\/strong>：<\/p> 已修复%00截断问题(PHP 5.3.24修复)<\/li> 版本较低，可能存在其他未修复漏洞<\/li> <\/ul> <\/li> <\/ol> 二、主机层面测试<\/h2> 全端口扫描技巧<\/h3> # 快速扫描开放端口<\/span> <\/span><\/span>ports=<\/span>$(<\/span>nmap -p- --min-rate=<\/span>1000<\/span> -T4 10.13.38.11 | grep ^[<\/span>0-9]<\/span> | cut -d '\/'<\/span> -f 1<\/span> | tr '\n'<\/span> ','<\/span> | sed s\/,$\/\/)<\/span> <\/span><\/span> <\/span><\/span># 针对开放端口进行详细扫描<\/span> <\/span><\/span>nmap -p$ports -sC -sV 10.13.38.11 <\/span><\/span><\/code><\/pre>三、WEB目录爆破<\/h2> 工具选择<\/h3> dirsearch<\/strong>：<\/p> 快速确定重要路径(如actuator未授权、备份文件、api接口、常见后台)<\/li> <\/ul> <\/li> Dirbuster<\/strong>：<\/p> 使用40万关键词级别的medium字典<\/li> 可全面爆破路径，发现更多文件夹<\/li> <\/ul> <\/li> <\/ol> 四、WEB安全测试发现<\/h2> 0x01 服务端自动填充密码漏洞<\/h3> 漏洞描述<\/strong>：服务端直接将上一次成功登录的账号密码作为默认值填充到登录输入框中<\/li> 风险<\/strong>：明文密码暴露<\/li> 无验证码和防重放token，存在暴力破解风险<\/li> <\/ul> <\/li> 修复建议<\/strong>：禁止服务端自动填充敏感信息<\/li> 增加验证码和CSRF防护<\/li> <\/ul> <\/li> <\/ul> 0x02 存储型XSS漏洞<\/h3> 测试方法<\/strong>：在输入框插入<"><\/code>测试HTML转义情况<\/li> 利用payload<\/strong>：<"><script>alert(\/xss\/)<\/script><\/code><\/li> 反射型XSS发现<\/strong>：服务器返回Content-Type: text\/html<\/code><\/li> 输入参数直接体现在响应中<\/li> <\/ul> <\/li> <\/ul> 0x03 命令注入漏洞<\/h3> 背景<\/strong>：后台功能涉及SSH登录操作，可能调用sshpass<\/code><\/li> 测试过程<\/strong>：尝试&&<\/code>、||<\/code>、><\/code>、<<\/code>、反引号均被过滤<\/li> 发现未过滤$<\/code>和()<\/code>，成功利用$(sleep 5)<\/code><\/li> <\/ul> <\/li> 后续操作<\/strong>：获取授权<\/li> 拖取代码进行审计<\/li> <\/ul> <\/li> <\/ul> 0x04 SQL注入漏洞<\/h3> 框架特性<\/strong>：ThinkPHP 3存在前台登录绕过漏洞(通过UNION SELECT控制返回密码值)<\/li> 测试结果<\/strong>：用户名参数无注入点<\/li> 后台多处使用$where<\/code>变量拼接用户输入，单引号闭合可注入<\/li> <\/ul> <\/li> 利用工具<\/strong>：SQLMAP<\/li> <\/ul> 0x05 前台SSRF漏洞<\/h3> HTTPS型SSRF<\/strong>：<\/p> 请求数据中存在IP地址字段，后端进行curl请求<\/li> 限制：CURLOPT_FOLLOWLOCATION<\/code>未启用，无法使用302跳转<\/li> <\/ul> <\/li> 万金油型SSRF<\/strong>：<\/p> go<\/code>函数开启了CURLOPT_FOLLOWLOCATION<\/code><\/li> 可利用302跳转到gopher协议攻击内网<\/li> <\/ul> <\/li> <\/ol> 0x06 前台任意文件上传漏洞<\/h3> 漏洞位置<\/strong>：xxxxxx\/uploadfile\/app.php<\/code><\/li> 关键代码<\/strong>： $src =<\/span> file_get_contents<\/span>('php:\/\/input'<\/span>); <\/span><\/span>if<\/span> (preg_match<\/span>("#^data:image\/(\w+);base64,(.*)$#"<\/span>, $src, $matches)) { <\/span><\/span> $base64 =<\/span> $matches[2<\/span>]; <\/span><\/span> $type =<\/span> $matches[1<\/span>]; <\/span><\/span> $data =<\/span> base64_decode<\/span>($base64); <\/span><\/span> file_put_contents<\/span>($filePath, $data); <\/span><\/span><\/code><\/pre><\/li> 利用方法<\/strong>：构造data:image\/php;base64,<\/code>格式的请求<\/li> 直接上传PHP文件内容<\/li> <\/ul> <\/li> 绕过特点<\/strong>：文件内容无PHP特征，可绕过WAF检测<\/li> <\/ul> <\/li> <\/ul> 0x07 前台命令执行漏洞<\/h3> 发现过程<\/strong>：通过复杂变量跟踪发现未授权命令执行接口<\/li> 影响<\/strong>：可直接获取系统权限<\/li> <\/ul> 五、总结与建议<\/h2> 安全开发建议<\/h3> 输入输出严格过滤和转义<\/li> 敏感操作增加权限验证<\/li> 文件上传限制文件类型和内容<\/li> 避免直接拼接用户输入到命令和SQL中<\/li> 对外请求限制协议和目标地址<\/li> <\/ol> 安全测试方法论<\/h3> 先了解系统组件和架构<\/li> 主机和WEB层面全面扫描<\/li> 从低危漏洞入手，逐步深入<\/li> 代码审计辅助发现深层漏洞<\/li> 开发与安全知识相结合<\/li> <\/ol> 持续学习建议<\/h3> 关注常见组件的漏洞公告<\/li> 掌握多种漏洞利用技巧<\/li> 了解防御措施以绕过限制<\/li> 开发和安全知识相互补充<\/li> <\/ol> 本测试案例展示了从信息收集到多种高危漏洞发现的完整过程，体现了安全测试的系统性和深入性。<\/p>

产品安全测试实战教学文档<\/h1>

前言<\/h2> 本文记录了一次完整的产品安全测试过程，涵盖了从组件漏洞排查到多种WEB漏洞发现的实战经验。测试目标是基于ThinkPHP 3和PHP 5.4构建的运维管理系统。<\/p>

一、组件漏洞排查<\/h2>

二、主机层面测试<\/h2>

三、WEB目录爆破<\/h2>

四、WEB安全测试发现<\/h2>

五、总结与建议<\/h2>

前言<\/h2>
本文记录了一次完整的产品安全测试过程，涵盖了从组件漏洞排查到多种WEB漏洞发现的实战经验。测试目标是基于ThinkPHP 3和PHP 5.4构建的运维管理系统。<\/p>