前言

问题发生在user.php的display函数，模版变量可控，导致注入，配合注入可达到远程代码执行

漏洞分析

0x01-SQL注入

先看user.php

最近一直很忙，V老哥发来一个站，说有一个上传点，问我要不要玩玩，当时太忙，就没去看，等过了几个小时以后，他说还没有突破，然后我叫他把后台和帐号密码发给我试试。

先打开后台看看，发现后台还是挺炫酷的。

嗯，一个文笔菜如老狗的我，我想写点什么，各位看官看看就好。

今年20出头，我相信大家入这行大多数都是从刷钻还有帐号被盗开始，我也不例外。
记得读初三的时候，开始接触刷钻，那个时候都是用手机卡刷钻。读到高一的时候，也就是那个时候开始，算是刚接触这行吧。
那个时候找了个师傅，好像花了50。。。。不过那时候学生党没有多少钱。当时学刷宽带钻，还有什么入侵啥的，反正当时觉得特别牛逼。
还有什么入侵三字经，慢慢的发现，叫他教技术总是各种敷衍，后来知道了他是骗子以后，就把我拉黑了。当时为了刷宽带钻，抓鸡而买了一台服务器。

人生几何，对酒当歌！

内容均来自互联网，风险等级根据实际情况定义

SQL注入漏洞

风险级别：高危
漏洞描述：
当Web应用程序未对用户输入的数据进行足够的安全处理（如危险字符过滤或者语句过滤），而直接拼接SQL语句执行时，攻击者可以精心构造参数值，使服务器执行非预期的SQL语句并返回结果，造成数据库信息泄露。利用SQL注入漏洞，攻击者可获取数据库的增、删、改、查权限，甚至执行系统命令，上传后门文件等。

近日，在《军武大本营第三季》节目中，360董事长周鸿祎对话局座召忠，两人大谈网络战争。

节目中局座提议网络战部队去360公司进行人才交流培养技能点，周鸿祎却表示黑客都是很有个性的人，很难用一种批量化的方法去培养。他同时还透露，黑客的收入很高，年薪百万千万不是问题。

0x00 前言

非常基础的代码审计练习，适合有php基础的审计新手练习

0x01 代码跟踪

首先，进入首页代码 ：index.php

包含了php文件：/include/common.inc.php

昨晚打开网页逛啊逛的，不知道怎么就逛到某网站上去了。。。。
然后顺手写了个爬虫，代码写的有点渣。还是丢出来大家一起探讨下。
起初是打算一个个按文件夹分类的，后来发现看起来不过瘾，每个文件夹里就那个几张图片，于是就省略了。

先附一张程序运行图，证明能用

利用限制

• 仅针对windows系统

进入正题

首先看核心文件common.inc.php 大概148行左右

1
2
3
4

if($_FILES)
{
    require_once(DEDEINC.'/uploadsafe.inc.php');
}

新建个名为.htaccess的文件，内容如下

AddHandler application/x-httpd-php .jpg

新建个1.jpg，内容如下

什么是文件包含

文件包含这个漏洞，简单来说既是程序猿在开发中为了方便，会将在多个页面重复使用的代码单独写到一个文件中，在需要用到的地方直接包含进来，包含后的文件既相当于将被包含的整个文件内容复制到了包含处。因为在开发中是经常用到的，因此成为了攻击者的目标，便衍生了多种文件包含的攻击。

本地文件包含