记一次钓鱼网站的代码审计
链接:https://pan.baidu.com/s/1j2AzW9_dzqDz6i91eARfEw
提取码:8zel
seay源码审计
daochu.php 疑似SQL注入漏洞
在seay审计后的第一条,提示sql漏洞,跟进查看源码,当检测没有传参all时,会执行sql语句且无任何过滤
将括号进行闭合,执行语句id=1) or if(1,sleep(3),1)%23,发现进行了拦截
明明在执行语句中没有过滤却进行了拦截,于是全文搜索了下输入内容存在危险字符,安全起见,已被本站拦截,看看是在那个地方做了过滤
在360webscan.php中发现该语句在webscan_page方法中
全文搜索在何处调用了该方法,发现只有webscan_StopAttack中调用
继续搜索何处使用该方法,发现在360webscan.php下方有一条if判断语句,在判断条件中有个webscan_white方法
跟进看一下,这里会对该方法的第一个参数和$_SERVER['SCRIPT_NAME']进行一个匹配,如果匹配成功,就会返回false,而返回false的话上边的if语句就不会执行,从而就不会执行webscan_StopAttack()方法,就不会对我们输入的内容进行检测
这里记录下$_SERVER['SCRIPT_NAME']及其他参数的一些用法
例:
http://127.0.0.1/example/index.php/dir/test
$_SERVER['PHP_SELF'] 得到:/dir/test
//无论访问的URL地址是否有index.php,它都会自动的返回 index.php.但是如果在文件名后面再加斜线的话,就会把后面所有的内容都返回
$_SERVER['SCRIPT_NAME'] 得到:/example/index.php
//返回当前的文件名
$_SERVER['REQUEST_URI'] 得到:/example/index.php/dir/test
知道这个之后,就去查看一下if语句中调用的$webscan_white_directory变量,在webscan_Cache.php发现该变量
变量没有任何的值且不可控,就无法绕过正则检测了,此利用点就无法使用了
此后上网搜索了一下360webscan的漏洞,发现在早期的文件里,$webscan_white_directory变量是有值的即:
//后台白名单,后台操作将不会拦截,添加"|"隔开白名单目录下面默认是网址带 admin /dede/ 放行$webscan_white_directory='admin|\/dede\/|\/install\/';
该语句经过$_SERVER['SCRIPT_NAME']后,会得到当前文件的路径,如果其中有admin或/dede/等字眼即会绕过正则检测,返回false,从而使webscan_StopAttack方法无法执行
知道这个后,我把$webscan_white_directory附上了如下的值
并且在我传参的路径中本身就存在/admin,因此就实现该sql注入
http://127.0.0.2/fish/admin/daochu.php?id=1) or if(1,sleep(3),1) %23
执行后出现sleep延迟
参考文章:
360webscan防注入脚本全面绕过 | 离别歌 (leavesongs.com)
member.php 存在SQL注入
seay审计中提示pass.php可能存在sql注入
跟进后查看,发现比何处$name处会经过daddslashes函数转义处理,绕过这个函数有四种方法:
- SQL语句中传参无单引号闭合
- 宽字节注入
- 使用iconv().mb_convert_encodeing()函数导致的宽字节注入
- 编码解码导致的URL绕过
参考:php代码审计之绕过addslashes()函数的几种情况_getcode大魔王_新浪博客 (sina.com.cn)
很明显这四种方式都行不通,在此后方还有个$udata变量,跟进看一下,在member.php中找到,很明显将$udata的值转为我们想要的值有些难,但后边的$admin_user是完全可控的
前边有islogin和admin_user的判断,所以传参islogin任意值,并将admin_user传参1' or if(1,sleep(3),1) #base64编码后的值,出现延时注入
2018.php 疑似存在XFF注入
seay审计发现X-Forwarded-For漏洞
跟进查看是定义了一个方法
explode
仔细查看后发现该方法中用explode函数绕过了时间盲注的逗号“,“
ip2long
并且在下方有个ip2long函数,会将ipv4的地址转为整型,若我们输入的不是ip地址,例如sql语句等则会返回false
所以该利用点行不通
记一次钓鱼网站的代码审计相关推荐
- 钓鱼网站php,偶遇钓鱼网站的一次代码审计
偶遇一个钓鱼邮件中的钓鱼网站,并与年华大佬做了代码审计.据说近期全国出现多起钓鱼邮件事件,主要以各大高校为主,已有不少人上当,还需多加注意. 分析钓鱼网站 钓鱼网站采用常用空间钓鱼CMS搭建,可通过百 ...
- 投毒、伪装、攻击,DNS 欺骗和钓鱼网站如何一步步诱人掉入陷阱?
[编者按]这篇文章将详细讲解DNS欺骗(DNS投毒)及钓鱼网站原理知识,并通过Ettercap工具复现某购物网站的钓鱼漏洞,本文的重点是让您对ARP欺骗.DNS欺骗和钓鱼攻击有一定认识.真心希望这篇基 ...
- 还能再山寨点吗?(去哪网quna VS 去哪儿网qunar)——记发现的山寨网站经历
还能再山寨点吗?(去哪网quna VS 去哪儿网qunar) --记发现的山寨网站经历 今天买机票先用手机登陆去哪儿网,通过百度搜索引擎进去的.然后下好订单,由于支付宝账号没有钱需要网银支付,所以准备 ...
- 最近工商银行钓鱼网站井喷式增长,过年了小心被钓鱼
[size=medium] 近日,有关机构监测发现,金融钓鱼网站数量在近两个月出现了加速增长的趋势,针对工商银行的钓鱼网站更是在短短3天内增加了40个.这些钓鱼网站在界面和域名上高度模仿银行官方网站, ...
- 技术,记载钓鱼网站的多次渗
记一次对钓鱼网站的多次渗透 0x01 首先我们对目标进行目录扫描,发现admin.php 进入发现是后台界面,右击查看网页源码 我们复制title到百度搜索一下 第一个是官网 我把源码下载,看了一遍, ...
- 交易劫持、钓鱼网站、盗号***严重威胁网购安全
网上购物,钱怎么流进骗子的口袋了?最近我一直在琢磨这个问题. 互联网发展到现在,已经不再是网络游戏一家独大的时候,前几年一般人说上网,无非是在线游戏.而现在,非常多的网民尝试过在线购物,用淘宝.支付宝 ...
- 【WEB安全】轻松检测钓鱼网站的技巧
你可能会认为钓鱼网站很难检测和跟踪,但实际上,许多钓鱼网站都包含唯一标识它们的HTML片段. 你可能会认为钓鱼网站很难检测和跟踪,但实际上,许多钓鱼网站都包含唯一标识它们的HTML片段.本文就以英国皇 ...
- [网络安全自学篇] 四十二.DNS欺骗和钓鱼网站原理详解及防御机理
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了中间人攻击或ARP欺骗攻击,从ARP原理到局域网配置进行描述.这篇文章 ...
- 6月共处理钓鱼网站8186个:非CN域名达8029个
IDC评述网(idcps.com)07月31日报道:近日,中国反钓鱼网站联盟发布了<2014年6月钓鱼网站处理简报>.据报告显示,在6月份,联盟共处理钓鱼网站8186个,环比增多:截至20 ...
最新文章
- ansible批量修改linux服务器密码的playbook
- 利用开区间覆盖的约简给出$\bf{Lindelöf}$覆盖定理的一个新证明
- ssh 到另一台机器执行命令
- i5四核八线程怎么样_同样四核八线程,Ryzen 3 3100和3300X区别大了!
- C++ vector 使用详解
- SAP Shipping address页面点了continue后的网络请求
- HDLBits答案(25)_编写Testbench
- IE6PNG8PNG24test
- python读压缩文件内容_Python读写压缩文件的方法
- nested exception is java.lang.UnsatisfiedLinkError: no jacob-1.19-x64 in java.library.path
- win10安全模式怎么修复系统
- .Net之Layui多图片上传
- Python飞机大战代码
- Linux chmod文件授权命令
- AV1 解码器 dav1d
- 域名前缀和后缀html,域名常用前缀和后缀
- Exp5 MSF基础应用 20164323段钊阳
- Win7/R2 原生VHD 启动
- Python自动化开发从浅入深-进阶(script,dom,jquery 基础)
- 云原生周刊 | 使用 ChatGPT 协助解决 Prometheus 告警