戰(zhàn)略性的思考而非戰(zhàn)術(shù)

對(duì)于面向過程寫法的程序來說，最快的審計(jì)方法可能時(shí)直接丟seay審計(jì)系統(tǒng)里，但對(duì)于基于mvc模式的程序來說，你直接丟seay審計(jì)系統(tǒng)的話，那不是給自己找麻煩嗎？

像面向過程寫法的程序，可以找下它的公共函數(shù)文件有啥可以利用的不，然后就是丟seay審計(jì)系統(tǒng)。

而對(duì)于基于mvc寫法的程序來說，跟讀他的入口文件，了解整個(gè)程序的運(yùn)行流程跟目錄結(jié)構(gòu)，之后再深入去了解它的核心類庫，如果核心類庫存在漏洞的話，那在這套程序中找出個(gè)漏洞的希望那不是一般的大啊！了解了整個(gè)框架運(yùn)行流程后，也沒從核心類庫中發(fā)現(xiàn)什么可利用的點(diǎn)的話，這時(shí)就可以從功能點(diǎn)入手了(這時(shí)可以把源碼丟進(jìn)seay源代碼審計(jì)系統(tǒng)了)。

一套組合拳打下了后還是沒找到漏洞咋辦？沒事，換套程序繼續(xù)。如果換了n套程序都找不出來，那就換個(gè)人吧……

實(shí)戰(zhàn)環(huán)節(jié)

目標(biāo)：某開源cms(icms) 環(huán)境：win+phpstudy+sublime

大概目錄結(jié)構(gòu)長(zhǎng)這樣

├── app       應(yīng)用 ├── cache     緩存 ├── core      icms程序入口 ├── iPHP      iphp框架文件 ├── public    公共資源 ├── res       用戶資源 └── template  模板

打開index.php

發(fā)現(xiàn)載入了一個(gè)icms.php，然后調(diào)用了iCMS::run()方法(如果你第一反應(yīng)是以為iCMS.php是個(gè)類文件，那你后面的審計(jì)估計(jì)有點(diǎn)難受。)

跟進(jìn)iCMS.php

該處載入了配置跟框架文件，繼續(xù)跟進(jìn)iPHP.php

載入幾個(gè)框架文件，然后調(diào)用iPHP::bootstrap()方法，這回差不多了，繼續(xù)跟進(jìn)iPHP::bootstrap()

該處做了些環(huán)境配置，然后就是調(diào)用核心的iWAF、iSecurity類來一下全局過濾(iWAF這些先跟)，看到這可有有的小伙伴又有疑惑了，iWAF什么時(shí)候加載進(jìn)來了啊？

看到48行的spl_autoload_register函數(shù)了沒，再具體點(diǎn)，看到56行那個(gè)autoload了沒

這也沒看到哪有include、require之類的啊，怎么加載進(jìn)來的？別急，繼續(xù)跟進(jìn)57行的self::auto_require

沒錯(cuò)就是這了，不過代碼太長(zhǎng)了就不貼了，大概就是判斷傳來的類名中是否有Admincp或者App，如果沒有就加載app/xx/xx.class.php，如果有Admincp則加載app/xx/xx.Admincp.php，如果有App則加載app/xx/xx.app.php，如果有Func則加載app/xx/xx.func.php，如果以上都不滿足則去iPHP/core/下找

iPHP::bootstrap()大概知道它干了什么了，再回頭去看看iCMS::init()

大概就是初始化配置信息，繼續(xù)往回看，跟進(jìn)iCMS::run()

繼續(xù)跟進(jìn)iPHP::run

(代碼有點(diǎn)長(zhǎng))大概就是從post或get獲取應(yīng)用名，加載類跟實(shí)例化類，調(diào)用方法等

劃重點(diǎn)了(后面會(huì)用到)，這里的文件名格式是xx.app.php，類名是xxApp，其實(shí)整套程序并不止index.php這一個(gè)入口文件，還有admincp.php、user.php等，其中加載的文件名格式跟類名都是不一樣的，比如：訪問index.php加載的是xx.app.php的xxApp類，訪問admincp.php加載的xx.admincp.php的xxAdmincp類

跟完入口文件后，對(duì)整個(gè)框架是怎么運(yùn)行的，都有了個(gè)大概的了解，接下來可以去深入了解了

我跟啊跟，發(fā)現(xiàn)核心類中的iHttp類的remote方法有點(diǎn)意思，在iPHP/core/iHttp.class.php 130行

remote方法封裝了curl，用來獲取遠(yuǎn)程頁面內(nèi)容，整個(gè)方法并沒有對(duì)url進(jìn)行任何限制或過濾，如果調(diào)用這個(gè)方法前也沒用對(duì)url進(jìn)行限制的話，那ssrf就跑不了了

全局搜索下看哪調(diào)用了這個(gè)方法，而remote是個(gè)靜態(tài)方法，調(diào)用格式為iHttp::remote，所以直接搜這個(gè)就可以了

我想找前臺(tái)的漏洞，so，直接看哪個(gè)的文件名格式類似xx.app.php就好啦

找啊找，僅發(fā)現(xiàn)前臺(tái)只有一處調(diào)用了該方法

找到之后，跟進(jìn)去看看

把$avatar傳了進(jìn)去，繼續(xù)往上翻翻，看有沒有啥過濾

一直往上翻，只看到這句

會(huì)不會(huì)在iSecurity::escapeStr這做了限制呢？繼續(xù)跟進(jìn)去看看

貌似沒有對(duì)url做限制！！！

再往上翻翻，看看是哪個(gè)方法

這回穩(wěn)了，手動(dòng)構(gòu)造數(shù)據(jù)包

解釋下個(gè)字段：

secode為驗(yàn)證碼，可從http://127.0.0.1/icms/public/api.php?app=public&do=seccode獲得，驗(yàn)證碼信息存在cookie里，只要cookie不變，驗(yàn)證碼就可一直用。

username跟nickname每次請(qǐng)求都要改變，avatar為傳入的url，這個(gè)漏洞還有兩處有點(diǎn)蛋疼的地方，第一，username跟nickname每次都要改變，而且這些值都是會(huì)存進(jìn)數(shù)據(jù)庫的；第二，這里的ssrf是沒有回顯。

使用dict來舉個(gè)例子，訪問一個(gè)未開啟端口時(shí)如下

訪問一個(gè)開啟的端口時(shí)如下
如果上述說的都做完還沒發(fā)現(xiàn)漏洞，那可以嘗試丟到seay源代碼審計(jì)系統(tǒng)，或者根據(jù)功能點(diǎn)進(jìn)行審計(jì)，找找邏輯漏洞
如果做完上述操作后再用軟件來輔助，會(huì)輕松的多，比如，seay源代碼審計(jì)系統(tǒng)掃出來如下
拿第二條距離，漏洞描述是referer偽造會(huì)引起sql，點(diǎn)擊瞅瞅
看到referer先進(jìn)入了iSecurity::escapeStr，然后再進(jìn)入iDB::insert，通過前面的審計(jì)我知道iSecurity::escapeStr對(duì)單引號(hào)等做了過濾，所以普通的sql注入是沒希望了，只能看看還有沒有其他方式能結(jié)合利用（我記得這是有注入的……）
如果我是一上來就用軟件的話，那我現(xiàn)在可能還在一步一步的追一個(gè)函數(shù)，這樣會(huì)增加不少功夫
本文到這就結(jié)束了，emmm！