萌新博主前一段时间一不小心发现了一个漏洞并获取了一个CVE编号,高兴了好一阵子。于是本萌新就想学习一下代码审计,挖一点CVE来玩一玩。最终选择了《代码审计——企业级Web代码安全架构》作为学习资料。学习一阵子后准备进行实战分析,于是就想起了自己多年前写的一个小破站,代码下载地址:https://pan.baidu.com/s/1ViVlsecgwWUig7rVvya31g?pwd=30yw ,提取码:30yw。该网站功能较少,采用函数式编程,代码嵌套少,漏洞较多,十分适合代码审计入门。该网站的功能模块如下图所示:
首先在mysql中创建一个名为 searchimages
的数据库。
mysql -uroot -proot #此处实例账号和密码都为root create database searchimages #创建数据库
然后将网站根目录中的 searchimages.sql
导入该数据库中,网站后台的默认账号和密码是admin:admin
。
use searchimages source D:\phpstudy\www\searchimages.sql #导入数据库
然后修改文件/configs/config.php
中数据库账号和密码即可。
首先通过审计工具fortify自动审计,这个工具可以扫描出可能存在的漏洞代码,然后再进行人工分析。扫描后发现存在三十多个可能存在xss漏洞的代码。
如下图中第一个xss漏洞在jquery.3.3.1.js中,这个文件是调用的js库,暂时不用管。我们看到 editAdmi.php
的29行,这里直接将 $username
和 $email
变量输出来。我们看到窗口的左下方有数据流走向分析,点击中间 Diagram
按钮后会出现数据量的走向的图示。这可以直观的表示出数据从哪里来,中间经过了哪里,这样可以使我们更加快速的分析出代码中是否存在漏洞。
通过分析发现 $username
和 $email
直接从数据库中取出,未经处理直接输出在了页面上。这极有可能存在一个xss漏洞,接下来可以通过利用该漏洞来确认该处是否存在漏洞。
下面我们来复现一下这个xss漏洞。登陆网站后台,在添加管理员页面的邮箱栏填写 "/><script>alert(1)</script>//
,账号和密码任意,然后点击添加管理员
按钮。
点击刚刚添加账号后面的修改
按钮就跳转到了 editAdmin.php
页面,然后就发现成功的弹出了一个提示框,这说明该处存在一个漏洞。
书中提供了两种解决建议,分别为:特殊字符HTML实体转码,标签事件属性黑名单。黑名单的绕过方式多种多样,防范难度非常高,我们这里就采用特殊字符实体转码的方式,当然最好同时采用两种方法。
特殊字符HTML实体转码主要有两个函数: htmlentities()
和 htmlspecialchars()
,两者都是将html特殊字符转码,其区别是htmlspecialchars()
只格式化&
'
"
<
和 >
这几个特殊符号,htmlentities()
会转换除了空格之外的特殊字符。
要注意的是使用
htmlentities()
如果不指定编码,遇到中文则会乱码。两者默认都不会转义单引号
'
,需要设置第二个参数来转义单引号。第2个参数取值有3种,分别如下:
- ENT_COMPAT(默认值):只转换双引号。
- ENT_QUOTES:两种引号都转换。
- ENT_NOQUOTES:两种引号都不转换。
如果不转义单引号,在特殊的情况下是会存在xss漏洞的,所以我们可以自定义一个同时对特殊字符和单引号转义的函数。该网站的 /lib/common.func.php
文件被所有网页包含,可以在该页面中定义全局函数。
function my_htmlspecialchars($str) { return htmlspecialchars($str, ENT_QUOTES); }
然后在每个数据输出点调用该函数即可,如下图所示。
然后我们刷新editAdmin.php
页面,看到没有再次弹出提示框,而是在邮件输入框正常显示了全部的js代码。我们可以采用同样的方法可以修复其他xss漏洞。
接下来看到 editImage.php
的32行, $imagePath
也是从数据库中直接取出,并且未处理直接输出在页面上。我们以同样的方法复现该漏洞,但是没有成功!所以可能是该数据再写入数据库前已经处理了。
接下来我们分析一下 $imagePath
是如何进入数据库的,通过该变量名称得知该数据即图片的地址。我们看到 douploadImages.php
的72行,通过分析得出 putImage
函数是将图片的名称和地址写入数据库中。而图片的地址是通过时间戳生成唯一id,然后通过md5加密得到,所以这个数据源不可能存在恶意数据。所以通过分析得到该处不存在xss漏洞。
接下来分析 editImages.php
的36行,变量$imageName
是图片的名字,我们刚刚看到这个数据在输入数据库的时候没有处理,所以该处存在xss漏洞,需要调用特殊字符HTML实体转码函数来处理该数据。我们可以用同样的方法修复其他xss漏洞。