PHP代码审计入门教程：BlueCMS 1.6审计实战<\/h1>

前言<\/h2>
代码审计是Web安全领域的重要技能，本教程将通过BlueCMS 1.6的审计过程，详细介绍PHP代码审计的基本方法和流程。教程将涵盖白盒测试、黑盒测试和灰盒测试的概念，以及实际的漏洞挖掘和分析技术。<\/p>

测试类型基础<\/h2>

白盒测试<\/h3>

已知产品的内部工作过程<\/li>
测试证明每种内部操作是否符合设计规格要求<\/li>

检查所有内部成分是否经过验证<\/li> <\/ul>

黑盒测试<\/h3>

已知产品的功能设计规格<\/li>

测试证明每个实现了的功能是否符合要求<\/li> <\/ul>

灰盒测试<\/h3>

白盒和黑盒测试的混合<\/li>

既会做黑盒测试又会做白盒测试<\/li> <\/ul>

白盒测试流程：BlueCMS 1.6审计<\/h2>

0x00: 了解目录结构<\/h3>

├── admin     后台管理目录
├── install   网站的安装目录
├── api       接口文件目录
├── data     系统处理数据相关目录
├── include  用来包含的全局文件
└── template  模板
<\/code><\/pre>
审计技巧：<\/strong><\/p>

函数集文件：通常命名中包含functions或common等关键字<\/li>
配置文件：通常命名中包含config关键字<\/li>
<\/ol>
0x01: 从首页获取信息<\/h3>
从index.php入手，了解程序架构、运行流程和包含的文件：<\/p>

引入common.inc.php和user.php<\/li>
common.inc.php中addslashes()函数对全局数组(POST, GET, COOKIES, REQUEST)进行转义处理<\/li>
包含防护功能如ban IP<\/li>
<\/ol>
0x02: 挖掘漏洞<\/h3>
跟踪输入变量<\/h4>
SQL注入漏洞发现：<\/strong><\/p>

ad_js.php中：<\/li>
<\/ol>
$ad_id =<\/span> !<\/span>empty<\/span>($_GET['ad_id'<\/span>]) ?<\/span> trim<\/span>($_GET['ad_id'<\/span>]) :<\/span> ''<\/span>;
<\/span><\/span>$ad =<\/span> $db-><\/span>getone<\/span>("SELECT * FROM "<\/span>.<\/span>table<\/span>('ad'<\/span>).<\/span>" WHERE ad_id ="<\/span>.<\/span>$ad_id);
<\/span><\/span><\/code><\/pre>
参数可控且无引号包裹<\/li>
存在SQL注入漏洞<\/li>
<\/ul>
利用工具辅助审计<\/h4>
使用Seay源代码审计系统等工具辅助发现潜在漏洞。<\/p>
危险函数列表<\/h4>



漏洞类型<\/th>
相关危险函数<\/th>
<\/tr>
<\/thead>


命令执行<\/td>
system, shell_exec, passthru, popen, proc_open<\/td>
<\/tr>

文件包含<\/td>
require, include, require_once, include_once<\/td>
<\/tr>

变量覆盖<\/td>
parse_str, mb_parse_str<\/td>
<\/tr>

代码执行<\/td>
eval, assert, preg_replace<\/td>
<\/tr>

文件操作<\/td>
file_get_contents, file_put_contents, move_uploaded_file, unlink, delete<\/td>
<\/tr>
<\/tbody>
<\/table>
文件删除漏洞发现：<\/strong><\/p>
if<\/span>(!<\/span>empty<\/span>($_POST['lit_pic'<\/span>]) &&<\/span> file_exists<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]))
<\/span><\/span>{
<\/span><\/span>    @<\/span>unlink<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
lit_pic参数可控<\/li>
可导致任意文件删除<\/li>
<\/ul>
0x03: 漏洞分析<\/h3>
SQL注入漏洞利用<\/h4>
ad_js.php中的UNION查询注入：<\/p>

漏洞代码：<\/li>
<\/ol>
$ad =<\/span> $db-><\/span>getone<\/span>("SELECT * FROM "<\/span>.<\/span>table<\/span>('ad'<\/span>).<\/span>" WHERE ad_id ="<\/span>.<\/span>$ad_id);
<\/span><\/span>echo<\/span> "<!--<\/span>\r\n<\/span>document.write(<\/span>\"<\/span>"<\/span>.<\/span>$ad_content.<\/span>"<\/span>\"<\/span>);<\/span>\r\n<\/span>--><\/span>\r\n<\/span>"<\/span>;
<\/span><\/span><\/code><\/pre>
利用步骤：<\/li>
<\/ol>

使用order by确定列数<\/li>
构造UNION查询获取数据<\/li>
通过回显位(如第7列)获取信息<\/li>
<\/ul>
任意文件删除漏洞<\/h4>
user.php中的漏洞：<\/p>

漏洞代码：<\/li>
<\/ol>
if<\/span>(!<\/span>empty<\/span>($_POST['lit_pic'<\/span>]) &&<\/span> file_exists<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]))
<\/span><\/span>{
<\/span><\/span>    @<\/span>unlink<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]);
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
利用方法：<\/li>
<\/ol>

构造POST请求包含lit_pic参数<\/li>
参数值为要删除的文件路径(相对路径)<\/li>
<\/ul>
反射型XSS漏洞<\/h4>
guest_book.php中的漏洞：<\/p>

漏洞代码：<\/li>
<\/ol>
$page_id =<\/span> $_POST['page_id'<\/span>];
<\/span><\/span>showmsg<\/span>($page_id);
<\/span><\/span><\/code><\/pre>
利用方法：<\/li>
<\/ol>
"><script<\/span>>alert<\/span>(\/xss\/<\/span>)<\/script<\/span>>
<\/span><\/span><\/code><\/pre>
需要闭合前面的input标签<\/li>
<\/ul>
总结<\/h2>


代码审计的基本流程：<\/p>

了解目录结构<\/li>
从入口文件(index.php)开始分析<\/li>
跟踪用户输入<\/li>
查找危险函数调用<\/li>
<\/ul>
<\/li>

关键点：<\/p>

关注用户可控的输入点<\/li>
注意参数是否被正确过滤<\/li>
结合手工审计和工具辅助<\/li>
注意工具可能遗漏的漏洞(如反射型XSS)<\/li>
<\/ul>
<\/li>

BlueCMS 1.6中发现的主要漏洞：<\/p>

SQL注入(ad_js.php)<\/li>
任意文件删除(user.php)<\/li>
反射型XSS(guest_book.php)<\/li>
<\/ul>
<\/li>
<\/ol>
通过本教程，您应该已经掌握了基本的PHP代码审计方法和流程。实际审计中，需要结合具体代码和环境进行灵活分析。<\/p>

漏洞类型<\/th>	相关危险函数<\/th> <\/tr> <\/thead>
命令执行<\/td>	system, shell_exec, passthru, popen, proc_open<\/td> <\/tr>
文件包含<\/td>	require, include, require_once, include_once<\/td> <\/tr>
变量覆盖<\/td>	parse_str, mb_parse_str<\/td> <\/tr>
代码执行<\/td>	eval, assert, preg_replace<\/td> <\/tr>
文件操作<\/td>	file_get_contents, file_put_contents, move_uploaded_file, unlink, delete<\/td> <\/tr> <\/tbody> <\/table> 文件删除漏洞发现：<\/strong><\/p> if<\/span>(!<\/span>empty<\/span>($_POST['lit_pic'<\/span>]) &&<\/span> file_exists<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>])) <\/span><\/span>{ <\/span><\/span> @<\/span>unlink<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]); <\/span><\/span>} <\/span><\/span><\/code><\/pre> lit_pic参数可控<\/li> 可导致任意文件删除<\/li> <\/ul> 0x03: 漏洞分析<\/h3> SQL注入漏洞利用<\/h4> ad_js.php中的UNION查询注入：<\/p> 漏洞代码：<\/li> <\/ol> $ad =<\/span> $db-><\/span>getone<\/span>("SELECT * FROM "<\/span>.<\/span>table<\/span>('ad'<\/span>).<\/span>" WHERE ad_id ="<\/span>.<\/span>$ad_id); <\/span><\/span>echo<\/span> "<!--<\/span>\r\n<\/span>document.write(<\/span>\"<\/span>"<\/span>.<\/span>$ad_content.<\/span>"<\/span>\"<\/span>);<\/span>\r\n<\/span>--><\/span>\r\n<\/span>"<\/span>; <\/span><\/span><\/code><\/pre> 利用步骤：<\/li> <\/ol> 使用order by确定列数<\/li> 构造UNION查询获取数据<\/li> 通过回显位(如第7列)获取信息<\/li> <\/ul> 任意文件删除漏洞<\/h4> user.php中的漏洞：<\/p> 漏洞代码：<\/li> <\/ol> if<\/span>(!<\/span>empty<\/span>($_POST['lit_pic'<\/span>]) &&<\/span> file_exists<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>])) <\/span><\/span>{ <\/span><\/span> @<\/span>unlink<\/span>(BLUE_ROOT<\/span>.<\/span>$_POST['lit_pic'<\/span>]); <\/span><\/span>} <\/span><\/span><\/code><\/pre> 利用方法：<\/li> <\/ol> 构造POST请求包含lit_pic参数<\/li> 参数值为要删除的文件路径(相对路径)<\/li> <\/ul> 反射型XSS漏洞<\/h4> guest_book.php中的漏洞：<\/p> 漏洞代码：<\/li> <\/ol> $page_id =<\/span> $_POST['page_id'<\/span>]; <\/span><\/span>showmsg<\/span>($page_id); <\/span><\/span><\/code><\/pre> 利用方法：<\/li> <\/ol> "><script<\/span>>alert<\/span>(\/xss\/<\/span>)<\/script<\/span>> <\/span><\/span><\/code><\/pre> 需要闭合前面的input标签<\/li> <\/ul> 总结<\/h2> 代码审计的基本流程：<\/p> 了解目录结构<\/li> 从入口文件(index.php)开始分析<\/li> 跟踪用户输入<\/li> 查找危险函数调用<\/li> <\/ul> <\/li> 关键点：<\/p> 关注用户可控的输入点<\/li> 注意参数是否被正确过滤<\/li> 结合手工审计和工具辅助<\/li> 注意工具可能遗漏的漏洞(如反射型XSS)<\/li> <\/ul> <\/li> BlueCMS 1.6中发现的主要漏洞：<\/p> SQL注入(ad_js.php)<\/li> 任意文件删除(user.php)<\/li> 反射型XSS(guest_book.php)<\/li> <\/ul> <\/li> <\/ol> 通过本教程，您应该已经掌握了基本的PHP代码审计方法和流程。实际审计中，需要结合具体代码和环境进行灵活分析。<\/p>

PHP代码审计入门教程：BlueCMS 1.6审计实战<\/h1>

前言<\/h2> 代码审计是Web安全领域的重要技能，本教程将通过BlueCMS 1.6的审计过程，详细介绍PHP代码审计的基本方法和流程。教程将涵盖白盒测试、黑盒测试和灰盒测试的概念，以及实际的漏洞挖掘和分析技术。<\/p>

测试类型基础<\/h2>

白盒测试流程：BlueCMS 1.6审计<\/h2>

0x02: 挖掘漏洞<\/h3>

利用工具辅助审计<\/h4> 使用Seay源代码审计系统等工具辅助发现潜在漏洞。<\/p>

0x03: 漏洞分析<\/h3>

前言<\/h2>
代码审计是Web安全领域的重要技能，本教程将通过BlueCMS 1.6的审计过程，详细介绍PHP代码审计的基本方法和流程。教程将涵盖白盒测试、黑盒测试和灰盒测试的概念，以及实际的漏洞挖掘和分析技术。<\/p>

利用工具辅助审计<\/h4>
使用Seay源代码审计系统等工具辅助发现潜在漏洞。<\/p>