靶機其他類型漏洞與審計項目15Web安全漏洞及代碼審計（第2版）（微課版）01項目知識準備項目知識準備01系統(tǒng)重裝漏洞一系統(tǒng)重裝漏洞是指管理人員將程序安裝成功后，沒有對安裝文件進行加鎖或刪除操作，導(dǎo)致安裝文件可以被攻擊者進一步利用的漏洞。常見的系統(tǒng)重裝漏洞場景（1）無驗證功能，可任意重裝：在程序安裝成功后，管理人員沒有對其加鎖以生成lock文件，使其無驗證功能，因此攻擊者可以任意訪問安裝目錄進行系統(tǒng)重裝。（2）參數(shù)step可控，可跳過驗證：程序通過$_GET提交參數(shù)step來進行安裝，如果參數(shù)step可控，則攻擊者可以直接從step1跳到step3，從而跳過驗證，導(dǎo)致系統(tǒng)重裝漏洞。（3）判斷l(xiāng)ock文件是否存在后，程序未終止：程序會判斷l(xiāng)ock文件是否存在，如果lock文件存在，則會出現(xiàn)JavaScript代碼提示框，顯示提示信息“程序已安裝”，但是程序在提示后并未退出，而是繼續(xù)向下執(zhí)行，導(dǎo)致系統(tǒng)重裝漏洞。項目知識準備01系統(tǒng)重裝漏洞一系統(tǒng)重裝漏洞是指管理人員將程序安裝成功后，沒有對安裝文件進行加鎖或刪除操作，導(dǎo)致安裝文件可以被攻擊者進一步利用的漏洞。常見的系統(tǒng)重裝漏洞場景（4）變量覆蓋導(dǎo)致系統(tǒng)重裝：通過GET、POST等方式提交變量，覆蓋用于判斷是否安裝的變量，并將其設(shè)置為空值，使其繞過“是否安裝成功”的條件判斷，導(dǎo)致系統(tǒng)重裝漏洞。（5）解析漏洞導(dǎo)致系統(tǒng)重裝：在程序安裝成功后，install.php文件會被重命名為install.php.bak，但是由于Apache的解析漏洞，如果無法識別最后一個后綴（如無法識別.bak），就會向上解析，因此install.php.bak文件會被向上解析為install.php文件，再結(jié)合安裝時的變量覆蓋，就可以進行系統(tǒng)重裝了。項目知識準備01越權(quán)漏洞二越權(quán)是指超出權(quán)限或權(quán)力范圍。大多數(shù)Web應(yīng)用程序都有權(quán)限劃分和權(quán)限控制功能，但是如果權(quán)限校驗功能設(shè)計存在缺陷，攻擊者就可以通過這些權(quán)限漏洞來進行不在自己權(quán)限范圍內(nèi)的操作。這些權(quán)限漏洞通常被稱為越權(quán)漏洞，而越權(quán)又分為水平越權(quán)和垂直越權(quán)。水平越權(quán)指攻擊者可以執(zhí)行與自己權(quán)限相同的其他用戶的操作。例如，通過某系統(tǒng)可以查看個人資料，而賬號A和賬號B的個人資料信息不同，可以認為查看個人資料功能具備水平權(quán)限劃分，如果此時系統(tǒng)權(quán)限校驗不嚴格，導(dǎo)致用戶A可以查看用戶B的個人資料，這就被稱為水平越權(quán)。垂直越權(quán)指低級別用戶可以訪問高級別用戶的資源。例如，后臺管理系統(tǒng)將用戶分為管理員和普通用戶，管理員有后臺管理功能而普通用戶沒有，如果此時普通用戶可以通過攻擊手段執(zhí)行只有管理員才有權(quán)限進行的操作，這就被稱為垂直越權(quán)。02任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02能夠進行系統(tǒng)重裝漏洞的分析及代碼審計了解《中華人民共和國密碼法》。任務(wù)目標一任務(wù)實施二本任務(wù)使用FENGCMS1.0，在下載源代碼后，將壓縮包解壓縮到根目錄中，并訪問http://localhost/install/index.php，進入安裝向?qū)Ы缑?，如圖15-1所示。1．環(huán)境搭建任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02單擊“開始安裝”按鈕，進入環(huán)境檢測界面，檢測程序部署的安裝環(huán)境是否滿足要求，如圖15-2所示。單擊“下一步”按鈕，進入數(shù)據(jù)庫安裝界面，填寫數(shù)據(jù)庫的配置信息，如圖15-3所示。任務(wù)實施二1．環(huán)境搭建任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02在信息填寫完成后，單擊“下一步”按鈕，即可開始安裝。在安裝成功后，界面如圖15-4所示。任務(wù)實施二1．環(huán)境搭建任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02在/install/index.php文件中，首先會定義配置文件和數(shù)據(jù)庫的當前路徑；然后會檢測在upload目錄下是否存在INSTALL文件，如果存在，則會提示“系統(tǒng)已安裝，如需要重新安裝，請手動刪除upload目錄下的INSTALL文件！”，但是程序并不會終止執(zhí)行，只是會彈出提示窗口，并正常繼續(xù)向下執(zhí)行“安裝許可協(xié)議”“檢測安裝環(huán)境是否滿足要求”“填寫數(shù)據(jù)庫信息”等步驟。代碼如下：任務(wù)實施二2．漏洞分析任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02在/install/install.php文件中，首先會通過POST方式傳入數(shù)據(jù)庫的相關(guān)參數(shù)，如數(shù)據(jù)庫地址、用戶名、密碼、數(shù)據(jù)庫名稱等；然后需要連接數(shù)據(jù)庫，如果連接數(shù)據(jù)庫失敗，就會提示“連接數(shù)據(jù)庫失??！請返回上一頁檢查連接參數(shù)”，如果數(shù)據(jù)庫不存在，就會自動創(chuàng)建數(shù)據(jù)庫。在創(chuàng)建數(shù)據(jù)庫后，可以通過fopen()函數(shù)以寫入的方式打開config.php文件，通過fwrite()函數(shù)將配置信息寫入配置文件config.php。由于在將信息寫入配置文件時，沒有對寫入的文件內(nèi)容進行校驗，因此可以將惡意代碼寫入配置文件config.php，然后導(dǎo)入配置信息并執(zhí)行寫入的代碼，代碼如下：任務(wù)實施二2．漏洞分析任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02直接訪問http://localhost/install/index.php，會提示“系統(tǒng)已安裝，如需要重新安裝，請手動刪除upload目錄下的INSTALL文件！”，如圖15-5所示。但是在單擊“確定”按鈕后，代碼仍會繼續(xù)執(zhí)行?？梢栽趶棾鼋缑娴摹皵?shù)據(jù)庫主機”文本框中輸入“l(fā)ocalhost”，在“數(shù)據(jù)庫用戶名”和“數(shù)據(jù)庫密碼”文本框中均輸入“root”，在“數(shù)據(jù)庫名稱”文本框中輸入“fengcms”，并且當想要將惡意代碼寫入配置文件時，可以在“數(shù)據(jù)表前綴”文本框中輸入惡意代碼“f_');assert($_POST['c']);//”，如圖15-6所示。任務(wù)實施二3．漏洞利用任務(wù)1系統(tǒng)重裝漏洞分析及代碼審計02當將惡意代碼寫入配置文件后，插入的惡意代碼“f_');assert($_POST['c']);//”會閉合前面定義的數(shù)據(jù)表前綴內(nèi)容，并注釋掉語句后面的部分，以執(zhí)行插入的assert()函數(shù)。在配置文件中寫入的惡意代碼如圖15-7所示。在惡意代碼寫入成功后，訪問/POST數(shù)據(jù):"c=system('ipconfig');，結(jié)果如圖15-8所示。任務(wù)實施二3．漏洞利用03任務(wù)2越權(quán)漏洞分析及代碼審計任務(wù)2越權(quán)漏洞分析及代碼審計03能夠進行越權(quán)漏洞的分析及代碼審計堅持總體國家安全觀。任務(wù)目標一任務(wù)實施二1．環(huán)境搭建本任務(wù)使用Catfish（鯰魚）CMSV4.5.7，將程序源代碼部署在根目錄中，訪問http://localhost，進入“Catfish（鯰魚）CMS安裝向?qū)А苯缑?，如圖15-9所示。任務(wù)2越權(quán)漏洞分析及代碼審計03任務(wù)實施二單擊“接受”按鈕，進入“檢測環(huán)境”界面，檢測操作系統(tǒng)、PHP版本、數(shù)據(jù)庫版本，以及目錄、文件權(quán)限等是否滿足安裝需求，如圖15-10所示。1．環(huán)境搭建任務(wù)2越權(quán)漏洞分析及代碼審計03任務(wù)實施二在環(huán)境檢測成功后，單擊界面底部的“下一步”按鈕，進入“創(chuàng)建數(shù)據(jù)”界面，填寫本地數(shù)據(jù)庫信息，以及預(yù)創(chuàng)建的管理員賬號和密碼等，如圖15-11所示。在信息填寫完成后，單擊界面底部的“創(chuàng)建數(shù)據(jù)”按鈕，即可開始安裝。在安裝完成后，界面如圖15-12所示。1．環(huán)境搭建任務(wù)2越權(quán)漏洞分析及代碼審計03任務(wù)實施二漏洞觸發(fā)點在rewrite()函數(shù)中。跟蹤rewrite()函數(shù)可以看到，postId通過POST方式傳遞并被賦值給變量id，在通過where()方法查詢數(shù)據(jù)后，如果沒有進行權(quán)限校驗，就會更新修改的內(nèi)容。當在編輯或修改文章時，將postId修改為其他用戶的postId，即可越權(quán)修改其他用戶的文章內(nèi)容，代碼如下：2．漏洞分析任務(wù)2越權(quán)漏洞分析及代碼審計03任務(wù)實施二進入后臺管理界面，首先選擇“用戶管理”→“添加后臺用戶”標簽，添加用戶名為TESTO1和TESTO2的用戶，然后選擇“用戶管理”→“管理后臺用戶”標簽，即可進入“管理后臺用戶”界面，如圖15-13所示。在TESTO1和TESTO2用戶的賬號下分別創(chuàng)建標題為TESTO1和TESTO2的文章，如圖15-14所示。3．漏洞利用任務(wù)2越權(quán)漏洞分析及代碼審計03任務(wù)實施二在TESTO1用戶的賬號下，修改TESTO2文章的信息，將用戶