代碼審計入門教學(xué)(一)

代碼審計教學(xué)

代碼審計入門教學(xué)(一)

北京的冬天太冷，似詩的南方陽光正高照著大地，北京的冬天太冷我已無法承受，我選擇在南方過冬。小白緊了緊衣服，趕腳南方比北方還冷，直想往被窩里一縮，美美地睡上一覺。
小白最近看到關(guān)于源碼審計的文章涌現(xiàn)而出，心里覺得癢癢的。再加上對源碼審計頗覺神秘高深，特想進行源碼審計。挖到漏洞后也是可以作為一個談資，順便在朋友面前炫耀。小白越想越興奮，不覺偷笑起來，幸好辦公室沒人注意，不然，還不讓人誤會他在想啥歪點子？
小白立馬坐直，提高專注度，上網(wǎng)找了個小眾的開源CMS，下載源碼后當即在虛擬機上部署，部署成功后在瀏覽器打開cms系統(tǒng)。搞到這里后小白有點蒙圈了，接下來應(yīng)該如何進行審計呢？小白冥思苦想了好久，找來一些有關(guān)審計的文章，再結(jié)合常見的WEB漏洞，決定審計源碼是否能發(fā)現(xiàn)SQL注入漏洞。
問題來了，在哪里會出現(xiàn)SQL注入漏洞呢？
根據(jù)小白以往的經(jīng)驗，SQL注入漏洞容易出現(xiàn)的地方主要是：
①一切能輸入的地方。如帶ID參數(shù)的URL、搜索框、注冊、登錄和留言板等地方。
②與數(shù)據(jù)庫有交互的地方。如新聞ID不一致頁面不一致即為可能與數(shù)據(jù)庫有交互。
等等……
小白看下了，CMS系統(tǒng)，有搜索框輸入的地方也有后臺登錄的地方。打算先嘗試審計后臺登錄的地方，說不定存在萬能密碼或SQL注入呢。
小白查看了虛擬機里的后臺路徑，發(fā)現(xiàn)網(wǎng)站后臺路徑前四個字母是隨機的，看來開發(fā)這套源碼的同學(xué)還是具備一定的安全意識的。



1、通過對index.html文件進行閱讀，發(fā)現(xiàn)index.html登錄請求提交到XXXCMS_Top_include.php?CF=users&Class=login，該文件底部使用了checkuser()函數(shù)。

2、查找哪些文件存在checkuser()函數(shù)：


發(fā)現(xiàn)有兩個文件存在該函數(shù)，分別是XXXCMS_Top_include.php和function.php。

3、進入function.php查看該函數(shù)具體內(nèi)容：


發(fā)現(xiàn)該函數(shù)使用了htmlspecialchars，flags為空，默認值為ENT_COMPAT，僅編碼雙引號�？梢钥吹�$sql變量中user_ps和user_qx參數(shù)都是使用了單引號，故此存在SQL注入。

4、可以判斷該文件是專門用來檢測用戶是否登錄，應(yīng)該被其他文件包含使用，接著搜索哪些文件調(diào)用了XXXCMS_Top_include.php：


發(fā)現(xiàn)在26個文件中有27個匹配結(jié)果。

5、訪問后臺存在的腳本XXXCMS_Info.php


發(fā)現(xiàn)提示賬號密碼不正確重新登錄！

6、構(gòu)造Cookie驗證結(jié)果：



7、成功繞過



8、小白嘗試把SQL查詢語句中的單引號換成雙引號。


9、重新構(gòu)造Cookie進入XXXCMS_Main.php頁面：



發(fā)現(xiàn)提示賬號密碼不正確重新登錄，可以證明對雙引號（"）進行了轉(zhuǎn)義

小白使用了Sqlmap進行SQL注入驗證


小白對自己竟然審計成功感覺很是高興，于是接著這股高興勁把審計的流程進行了總結(jié)并畫出了一個審計流程圖。